XenMobile Server

Sécurité et expérience utilisateur

La sécurité est importante pour toute organisation, mais vous devez trouver un équilibre entre la sécurité et l’expérience utilisateur. Par exemple, vous pouvez avoir un environnement hautement sécurisé qui est difficile à utiliser pour les utilisateurs. Ou votre environnement peut être si convivial que le contrôle d’accès n’est pas aussi strict. Les autres sections de ce manuel virtuel couvrent en détail les fonctionnalités de sécurité. Le but de cet article est de donner un aperçu général des problèmes de sécurité courants et des options de sécurité disponibles dans XenMobile.

Voici quelques considérations clés à garder à l’esprit pour chaque cas d’utilisation :

  • Voulez-vous sécuriser certaines applications, l’appareil entier ou tout ?
  • Comment voulez-vous que vos utilisateurs authentifient leur identité ? Prévoyez-vous d’utiliser LDAP, l’authentification basée sur les certificats ou une combinaison des deux ?
  • Comment voulez-vous gérer les délais d’expiration de session utilisateur ? Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix ADC et pour accéder aux applications en mode hors connexion.
  • Souhaitez-vous que les utilisateurs configurent un code d’accès au niveau de l’appareil, un code d’accès au niveau de l’application ou les deux ? Combien de tentatives de connexion souhaitez-vous offrir aux utilisateurs ? Gardez à l’esprit l’impact sur l’expérience utilisateur que peuvent avoir les exigences supplémentaires d’authentification par application implémentées avec MAM.
  • Quelles autres restrictions voulez-vous appliquer aux utilisateurs ? Souhaitez-vous donner aux utilisateurs l’accès à des services cloud tels que Siri ? Que peuvent-ils faire et ne pas faire avec chaque application que vous mettez à leur disposition ? Souhaitez-vous déployer des stratégies Wi-Fi d’entreprise pour empêcher que les forfaits de données cellulaires ne soient consommés à l’intérieur des espaces de bureau ?

Application ou appareil

L’une des premières choses à faire est de déterminer si vous ne devez sécuriser que certaines applications à l’aide de la gestion des applications mobiles (MAM). Ou si vous souhaitez également gérer l’ensemble de l’appareil à l’aide de la gestion des appareils mobiles (MDM). Le plus souvent, si vous n’avez pas besoin d’un contrôle au niveau de l’appareil, vous n’avez besoin que de gérer les applications mobiles, en particulier si votre organisation prend en charge Bring Your Own Device (BYOD).

Les utilisateurs équipés d’appareils qui ne sont pas gérés peuvent installer des applications via le magasin d’applications. À la place des contrôles au niveau de l’appareil, comme l’effacement partiel ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Les stratégies, selon les valeurs que vous avez définies, requièrent que l’appareil vérifie régulièrement XenMobile pour confirmer que les applications sont toujours autorisées à s’exécuter.

MDM vous permet de sécuriser l’ensemble d’un appareil, y compris la possibilité de faire l’inventaire de tous les logiciels d’un appareil. Vous pouvez empêcher l’inscription si l’appareil est jailbreaké, rooté ou si un logiciel non sécurisé est installé. Toutefois, les utilisateurs se méfient d’un tel niveau de contrôle sur leurs appareils personnels et cela peut réduire les taux d’inscription.

Authentification

C’est au niveau de l’authentification qu’une grande partie de l’expérience de l’utilisateur a lieu. Si votre organisation exécute déjà Active Directory, l’utilisation d’Active Directory est le moyen le plus simple d’autoriser vos utilisateurs à accéder au système.

Les délais d’expiration représentent aussi une partie importante de l’expérience de l’utilisateur avec l’authentification. Un environnement de haute sécurité peut obliger les utilisateurs à se connecter à chaque fois qu’ils accèdent au système, mais cette option n’est pas idéale pour toutes les organisations. Par exemple, demander aux utilisateurs d’entrer leurs informations d’identification chaque fois qu’ils veulent accéder à leur messagerie peut avoir un effet négatif sur l’expérience des utilisateurs.

Entropie utilisateur

Pour plus de sécurité, vous pouvez activer une fonctionnalité appelée entropie utilisateur. Citrix Secure Hub et d’autres applications partagent souvent des données communes telles que les mots de passe, les codes confidentiels et les certificats pour garantir le bon fonctionnement de tous les éléments. Ces informations sont stockées dans un coffre générique dans Secure Hub. Si vous activez l’entropie utilisateur via l’option Crypter les secrets (Encrypt Secrets), XenMobile crée un nouveau coffre appelé UserEntropy. XenMobile déplace les informations du coffre-fort générique vers le nouveau coffre-fort. Pour que Secure Hub ou une autre application accède aux données, les utilisateurs doivent entrer un mot de passe ou un code PIN.

L’activation de l’entropie utilisateur ajoute une couche d’authentification supplémentaire à plusieurs emplacements. Par conséquent, les utilisateurs doivent entrer un mot de passe ou un code PIN chaque fois qu’une application nécessite l’accès à des données partagées, y compris des certificats, dans le coffre-fort UserEntropy.

Pour en savoir plus sur l’entropie utilisateur, consultez la section À propos de MDX Toolkit dans la documentation XenMobile. Pour activer l’entropie utilisateur, vous pouvez trouver les paramètres associés dans les propriétés du client.

Stratégies

Les stratégies MDX et MDM offrent une grande flexibilité aux organisations, mais elles peuvent également restreindre les utilisateurs. Par exemple, vous pouvez souhaiter bloquer l’accès à des applications cloud telles que Siri ou iCloud qui sont susceptibles d’envoyer des données sensibles à différents endroits. Vous pouvez configurer une stratégie pour bloquer l’accès à ces services, mais gardez à l’esprit qu’une telle stratégie peut avoir des conséquences imprévues. Le micro du clavier iOS dépend également de l’accès au cloud et vous pouvez également bloquer l’accès à cette fonctionnalité.

Applications

La gestion de la mobilité d’entreprise (EMM) inclut la gestion d’appareils mobiles (MDM) et gestion d’applications mobiles (MAM). Alors que MDM permet aux entreprises de sécuriser et de contrôler les appareils mobiles, MAM facilite la livraison et la gestion des applications. Avec l’adoption croissante de la stratégie BYOD (Apportez votre propre appareil), vous pouvez généralement implémenter une solution MAM pour vous aider à prendre en charge la mise à disposition des applications, l’attribution des licences logicielles, la configuration et la gestion du cycle de vie des applications.

Avec XenMobile, vous pouvez aller plus loin dans la sécurisation des applications en configurant des stratégies MAM et des paramètres VPN spécifiques pour éviter les fuites de données et autres menaces de sécurité. XenMobile offre aux entreprises la flexibilité nécessaire pour déployer l’une des solutions suivantes :

  • Environnement MAM exclusif
  • Environnement MDM exclusif
  • Environnement unifié XenMobile Enterprise qui fournit à la fois des fonctionnalités MDM et MAM sur la même plate-forme

En plus de la possibilité de mettre à disposition des applications sur des appareils mobiles, XenMobile propose la conteneurisation d’applications via la technologie MDX. MDX sécurise les applications grâce à un cryptage distinct du cryptage au niveau de l’appareil fourni par les plates-formes. Vous pouvez effacer ou verrouiller l’application. Les applications sont soumises à des contrôles granulaires basés sur des stratégies. Les éditeurs de logiciels indépendants peuvent appliquer ces contrôles à l’aide du SDK Mobile Apps.

Dans un environnement d’entreprise, les utilisateurs utilisent diverses applications mobiles pour les aider dans leur travail. Les applications peuvent inclure des applications du magasin d’applications public, des applications développées en interne et des applications natives. XenMobile classe ces applications comme suit :

Applications publiques : ces applications peuvent être gratuites ou payantes et sont disponibles dans un magasin d’applications public, tel que l’Apple App Store ou Google Play. Les fournisseurs externes à l’organisation mettent souvent à disposition leurs applications dans des magasins d’applications publics. Cette option permet aux clients de télécharger les applications directement depuis Internet. Vous pouvez utiliser de nombreuses applications publiques dans votre organisation en fonction des besoins des utilisateurs. Des exemples de telles applications incluent les applications GoToMeeting, Salesforce et EpicCare.

Citrix ne prend pas en charge le téléchargement des fichiers binaires des applications directement à partir des magasins d’applications publics ou l’encapsulation avec MDX Toolkit pour la distribution d’entreprise. Pour activer MDX pour des applications tierces, contactez le fournisseur de votre application pour obtenir les fichiers binaires de l’application. Vous pouvez encapsuler les fichiers binaires à l’aide du MDX Toolkit ou intégrer le SDK MAM aux fichiers binaires.

Applications internes : de nombreuses organisations ont des développeurs internes qui créent des applications fournissant des fonctionnalités spécifiques et étant développées et distribuées indépendamment au sein de l’organisation. Dans certains cas, certaines organisations peuvent également avoir des applications fournies par des éditeurs de logiciels indépendants. Vous pouvez déployer ces applications en tant qu’applications natives ou vous pouvez les conteneuriser en utilisant une solution MAM, telle que XenMobile. Par exemple, une organisation de soins de santé peut créer une application interne qui permet aux médecins de consulter les informations sur les patients à partir d’appareils mobiles. Une organisation peut alors activer le SDK MAM pour l’application ou l’encapsuler par MDM pour sécuriser les informations du patient et activer l’accès VPN au serveur de base de données du patient principal.

Applications Web et Saas : ces applications comprennent les applications accessibles à partir d’un réseau interne (applications web) ou sur un réseau public (SaaS). XenMobile vous permet également de créer des applications Web et SaaS personnalisées à l’aide d’une liste de connecteurs d’applications. Ces connecteurs d’application peuvent faciliter l’authentification unique (SSO) aux applications Web existantes. Pour de plus amples informations, consultez la section Types de connecteur d’application. Par exemple, vous pouvez utiliser Google Apps SAML pour l’authentification unique basée sur le langage SAML (Security Assertion Markup Language) de Google Apps.

Applications de productivité mobiles Citrix : applications développées par Citrix et incluses avec la licence XenMobile. Pour plus de détails, consultez la section À propos des applications de productivité mobiles. Citrix propose également d’autres applications prêtes à l’emploi que les éditeurs de logiciels indépendants peuvent développer à l’aide du SDK Mobile Apps.

Applications HDX : applications hébergées par Windows que vous publiez avec StoreFront. Si vous disposez d’un environnement Citrix Virtual Apps and Desktops, vous pouvez intégrer les applications à XenMobile pour les mettre à la disposition des utilisateurs inscrits.

Selon le type d’applications mobiles que vous prévoyez de déployer et de gérer avec XenMobile, la configuration et l’architecture sous-jacentes diffèrent. Par exemple, si plusieurs groupes d’utilisateurs ayant un niveau d’autorisation différent utilisent une même application, vous aurez peut-être besoin de groupes de mise à disposition distincts pour déployer deux versions de l’application. En outre, vous devez vous assurer que l’appartenance au groupe d’utilisateurs est mutuellement exclusive pour éviter les incohérences de stratégie sur les appareils de l’utilisateur.

Vous pouvez également gérer les licences d’applications iOS à l’aide de l’achat en volume d’Apple. Vous devrez pour cela vous inscrire à l’achat en volume Apple et configurer les paramètres d’achat en volume XenMobile dans la console XenMobile pour distribuer les applications avec les licences d’achat en volume. Avec une telle variété de cas d’utilisation, il est important d’évaluer et de planifier votre stratégie MAM avant la mise en œuvre de l’environnement XenMobile. Vous pouvez commencer à planifier votre stratégie MAM en définissant les éléments suivants :

Types d’applications : répertoriez les différents types d’applications que vous envisagez d’utiliser et attribuez-leur des catégories. Par exemple : applications de productivité publiques, natives, mobiles, Web, en interne, applications ISV, etc. En outre, catégorisez les applications selon différentes plates-formes d’appareils, telles que iOS et Android. Cette catégorisation permet d’aligner les paramètres XenMobile requis pour chaque type d’application. Par exemple, certaines applications peuvent ne pas être éligibles à l’encapsulation ou peuvent nécessiter l’utilisation du SDK Mobile Apps pour activer des API spéciales pour l’interaction avec d’autres applications.

Exigences en matière de réseau : configurez les applications avec des paramètres appropriés pour répondre aux exigences d’accès réseau spécifiques. Par exemple, certaines applications peuvent nécessiter l’accès à votre réseau interne via un VPN. Certaines applications peuvent nécessiter un accès Internet pour acheminer l’accès via la DMZ. Afin de permettre à ces applications de se connecter au réseau requis, vous devez configurer divers paramètres en conséquence. La définition des exigences réseau par application vous aide à finaliser vos décisions architecturales dès le début, ce qui simplifie le processus de mise en œuvre global.

Exigences en matière de sécurité : Il est primordial de définir les exigences de sécurité qui s’appliquent à des applications individuelles ou à toutes les applications. Cette planification garantit que vous créez les bonnes configurations lorsque vous installez XenMobile Server. Bien que des paramètres, tels que les stratégies MDX, s’appliquent aux applications individuelles, les paramètres de session et d’authentification s’appliquent à toutes les applications. Certaines applications peuvent avoir des exigences spécifiques en matière de chiffrement, de conteneurisation, d’encapsulage, de chiffrement, d’authentification, de géofencing, de code d’accès ou de partage de données que vous pouvez définir à l’avance pour simplifier votre déploiement.

Exigences en matière de déploiement : vous pouvez utiliser un déploiement basé sur des stratégies pour autoriser le téléchargement des applications publiées uniquement par des utilisateurs compatibles. Par exemple, vous pouvez souhaiter pour certaines applications que :

  • le cryptage de l’appareil basé sur la plate-forme soit activé
  • l’appareil soit géré
  • l’appareil réponde à une version minimale du système d’exploitation
  • certaines applications soient disponibles uniquement pour les utilisateurs d’entreprise

Vous pouvez également exiger que certaines applications soient uniquement disponibles pour les utilisateurs d’entreprise. Définissez ces exigences à l’avance afin de pouvoir configurer les stratégies ou les actions de déploiement appropriées.

Exigences en matière de licence : enregistrez les exigences en matière de licence liées à l’application. Ces notes vous aident à gérer efficacement l’utilisation des licences et à décider si vous devez configurer des fonctionnalités spécifiques dans XenMobile pour faciliter l’attribution de licences. Par exemple, si vous déployez une application iOS gratuite ou payante, Apple applique les exigences de licence sur l’application en demandant aux utilisateurs de se connecter à leur compte iTunes. Vous pouvez vous inscrire à l’achat en volume d’Apple pour distribuer et gérer ces applications via XenMobile. L’achat en volume permet aux utilisateurs de télécharger les applications sans se connecter à leur compte iTunes. En outre, des outils tels que Samsung SAFE et Samsung Knox présentent des exigences de licence spéciales qui doivent être satisfaites avant le déploiement de ces fonctionnalités.

Exigences en matière de liste d’autorisation/liste de blocage : vous souhaitez probablement empêcher les utilisateurs d’installer ou d’utiliser certaines applications. Créez une liste d’autorisation d’applications qui définit la machine utilisateur comme étant hors conformité. Ensuite, configurez des stratégies pour qu’elles se déclenchent lorsqu’un appareil devient non conforme. D’un autre côté, une application peut être acceptable pour une utilisation, mais peut tomber sous la liste de blocage pour une raison quelconque. Dans ce cas, vous pouvez ajouter l’application à une liste d’autorisation et indiquer que l’utilisation de l’application est acceptable mais n’est pas requise. De plus, gardez à l’esprit que les applications préinstallées sur les nouveaux appareils peuvent inclure certaines applications couramment utilisées qui ne font pas partie du système d’exploitation. Ces applications peuvent entrer en conflit avec votre stratégie de liste de blocage.

Cas d’utilisation des applications

Une organisation de soins de santé prévoit de déployer XenMobile en tant que solution MAM pour leurs applications mobiles. Les applications mobiles sont mises à disposition des utilisateurs professionnels et BYOD. Le département informatique décide de mettre à disposition et de gérer les applications suivantes :

  • Applications de productivité mobiles : applications iOS et Android fournies par Citrix.
  • Secure Mail : application messagerie, calendrier et contact.
  • Secure Web : navigateur Web sécurisé qui permet d’accéder aux sites Internet et intranet.
  • Citrix Files : application permettant d’accéder aux données partagées et de partager, synchroniser et éditer des fichiers.

Magasin d’applications public

  • Secure Hub : client utilisé par tous les appareils mobiles pour communiquer avec XenMobile. Le département informatique envoie les paramètres de sécurité, les configurations et les applications mobiles vers les appareils mobiles via le client Secure Hub. Les appareils Android et iOS s’inscrivent dans XenMobile via Secure Hub.
  • Citrix Receiver : application mobile permettant aux utilisateurs d’ouvrir des applications hébergées par Virtual Apps and Desktops sur des appareils mobiles.
  • GoToMeeting : un client de réunion, de partage de bureau et de visioconférence en ligne qui permet aux utilisateurs de se rencontrer en temps réel avec d’autres utilisateurs, clients ou collègues via Internet.
  • Salesforce1 : Salesforce1 permet aux utilisateurs d’accéder à Salesforce à partir d’appareils mobiles et rassemble toutes les applications Chatter, CRM et applications personnalisées, ainsi que les processus d’entreprise, pour une expérience unifiée pour tout utilisateur Salesforce.
  • RSA SecurID : jeton logiciel pour l’authentification à deux facteurs.
  • Applications EpicCare : ces applications offrent aux professionnels de la santé un accès sécurisé et portable aux dossiers des patients, aux listes de patients, aux calendriers et aux messages.
    • Haiku : application mobile pour les téléphones iPhone et Android.
    • Canto : application mobile pour l’iPad.
    • Rover : applications mobiles pour iPhone et l’iPad.

HDX : ces applications sont mises à disposition via Citrix Virtual Apps and Desktops.

  • Epic Hyperspace : application Epic client pour la gestion électronique des dossiers de santé.

ISV

  • Vocera : application VoIP et de messagerie compatible HIPAA qui étend les avantages de la technologie vocale Vocera à tout moment, n’importe où, via l’iPhone et les smartphones Android.

Applications internes

  • HCMail : application qui permet de composer des messages cryptés, d’effectuer des recherches dans des carnets d’adresses sur des serveurs de messagerie internes et d’envoyer les messages cryptés aux contacts à l’aide d’un client de messagerie.

Applications web internes

  • PatientRounding : application Web utilisée pour enregistrer les informations sur la santé des patients par différents départements.
  • Outlook Web Access : permet l’accès à la messagerie via un navigateur Web.
  • SharePoint : utilisé pour le partage de fichiers et de données à l’échelle de l’organisation.

Le tableau suivant répertorie les informations de base requises pour la configuration MAM.

         
Nom de l’application Type d’application Encapsulation MDX iOS Android
Secure Mail Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Web Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Citrix Files Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Hub Application publique SO Oui Oui
Citrix Receiver Application publique SO Oui Oui
GoToMeeting Application publique SO Oui Oui
Salesforce1 Application publique SO Oui Oui
RSA SecurID Application publique SO Oui Oui
Epic Haiku Application publique SO Oui Oui
Epic Canto Application publique SO Oui Non
Epic Rover Application publique SO Oui Non
Epic Hyperspace Application HDX SO Oui Oui
Vocera Application d’éditeur de logiciels indépendant Oui Oui Oui
HCMail Application interne Oui Oui Oui
PatientRounding Application Web SO Oui Oui
Outlook Web Access Application Web SO Oui Oui
SharePoint Application Web SO Oui Oui

Les tableaux suivants répertorient les exigences spécifiques que vous pouvez consulter lorsque vous configurez les stratégies MAM dans XenMobile.

| **Nom de l’application** | **VPN requis** | **lnteraction** | **lnteraction** | **Cryptage de l’appareil basé sur la plate-forme** | | | | (avec applis hors du conteneur)| (depuis applis hors du conteneur)| | | —————— | — | ———————————— | ———————————— | ———— | | Secure Mail | O | Autorisé de manière sélective | Autorisé | Non requis | | Secure Web | O | Autorisé | Autorisé | Non requis | | Citrix Files | O | Autorisé | Autorisé | Non requis | | Secure Hub | O | S/O | S/O | S/O | | Citrix Receiver | O | S/O | S/O | S/O | | GoToMeeting | N | S/O | S/O | S/O | | Salesforce1 | N | S/O | S/O | S/O | | RSA SecurID | N | S/O | S/O | S/O | | Epic Haiku | O | S/O | S/O | S/O | | Epic Canto | O | S/O | S/O | S/O | | Epic Rover | O | S/O | S/O | S/O | | Epic Hyperspace | O | S/O | S/O | S/O | | Vocera | O | Bloqué | Bloqué | Non requis | | HCMail | O | Bloqué | Bloqué | Obligatoire | | PatientRounding | O | S/O | S/O | Obligatoire | | Outlook Web Access | O | S/O | S/O | Non requis | | SharePoint | O | S/O | S/O | Non requis |

Nom de l’application Filtrage par proxy Gestion des licences Géofencing SDK Applications mobiles Version minimale du système d’exploitation
Secure Mail Obligatoire S/O Requis de manière sélective S/O Appliqué
Secure Web Obligatoire S/O Non requis S/O Appliqué
Citrix Files Obligatoire S/O Non requis S/O Appliqué
Secure Hub Non requis Achat en volume Non requis S/O Non appliqué
Citrix Receiver Non requis Achat en volume Non requis S/O Non appliqué
GoToMeeting Non requis Achat en volume Non requis S/O Non appliqué
Salesforce1 Non requis Achat en volume Non requis S/O Non appliqué
RSA SecurID Non requis Achat en volume Non requis S/O Non appliqué
Epic Haiku Non requis Achat en volume Non requis S/O Non appliqué
Epic Canto Non requis Achat en volume Non requis S/O Non appliqué
Epic Rover Non requis Achat en volume Non requis S/O Non appliqué
Epic Hyperspace Non requis S/O Non requis S/O Non appliqué
Vocera Obligatoire S/O Obligatoire Obligatoire Appliqué
HCMail Obligatoire S/O Obligatoire Obligatoire Appliqué
PatientRounding Obligatoire S/O Non requis S/O Non appliqué
Outlook Web Access Obligatoire S/O Non requis S/O Non appliqué
SharePoint Obligatoire S/O Non requis S/O Non appliqué

Communautés d’utilisateurs

Chaque organisation est composée de diverses communautés d’utilisateurs qui opèrent dans différents rôles fonctionnels. Ces communautés d’utilisateurs exécutent différentes tâches et fonctions de bureau à l’aide de diverses ressources que vous fournissez via des appareils mobiles. Les utilisateurs peuvent travailler à domicile ou dans des bureaux distants à l’aide d’appareils mobiles que vous fournissez. Les utilisateurs peuvent également utiliser leurs appareils mobiles personnels, ce qui leur permet d’accéder à des outils soumis à certaines règles de conformité de sécurité.

Avec un plus grand nombre de communautés d’utilisateurs utilisant des appareils mobiles, la gestion de la mobilité d’entreprise devient essentielle pour éviter la fuite de données et pour appliquer les restrictions de sécurité. Pour une gestion efficace et plus sophistiquée des appareils mobiles, vous pouvez catégoriser vos communautés d’utilisateurs. Cela simplifie le mappage des utilisateurs aux ressources et garantit que les bonnes stratégies de sécurité s’appliquent aux utilisateurs appropriés.

L’exemple suivant illustre comment les communautés d’utilisateurs d’une organisation de soins de santé sont classées pour EMM.

Cas d’utilisation des communautés d’utilisateurs

Cet exemple d’organisation de soins de santé fournit des ressources technologiques et un accès à plusieurs utilisateurs, y compris des employés et des bénévoles du réseau et de sociétés affiliées. L’organisation a choisi de déployer la solution EMM auprès des utilisateurs non-cadres uniquement.

Vous pouvez répartir les rôles utilisateur et les fonctions de cette organisation en sous-groupes, y compris personnel médical, personnel non-médical et sous-traitants. Un ensemble sélectionné d’utilisateurs reçoit des appareils mobiles d’entreprise tandis que d’autres peuvent accéder aux ressources limitées de l’entreprise à partir de leurs appareils personnels. Pour appliquer le niveau approprié de restrictions de sécurité et empêcher la fuite de données, l’organisation a décidé que l’informatique de l’entreprise gère chaque appareil inscrit, qu’il appartienne à l’entreprise ou à l’utilisateur. En outre, les utilisateurs ne peuvent inscrire qu’un seul appareil.

La section suivante donne un aperçu des rôles et des fonctions de chaque sous-groupe :

Personnel médical

  • Infirmiers/Infirmières
  • Médecins (docteurs, chirurgiens, etc.)
  • Spécialistes (diététiciens, anesthésistes, radiologues, cardiologues, oncologues, etc.)
  • Médecins externes (médecins non-employés et employés de bureau travaillant dans des bureaux éloignés)
  • Services de santé à domicile (employés de bureau et travailleurs mobiles exécutant des services médicaux lors de visites à domicile auprès de patients)
  • Spécialistes en recherche (travailleurs intellectuels et utilisateurs avancés dans six instituts de recherche médicale)
  • Éducation et formation (infirmiers/infirmières, médecins et spécialistes en phase d’éducation et de formation)

Personnel non-médical

  • Services partagés (employés de bureau effectuant diverses fonctions administratives, y compris RH, gestion des salaires, comptes fournisseurs, service de la chaîne d’approvisionnement, etc.)
  • Services médicaux (employés de bureau effectuant divers services de gestion des soins de santé, services administratifs et solutions de processus commerciaux aux fournisseurs, y compris : services administratifs, analyse commerciale et intelligence économique, systèmes commerciaux, services aux clients, finances, gestion des soins, solutions d’accès patient, solutions de cycle des revenus, etc.)
  • Services de support (employés de bureau remplissant diverses fonctions non-médicales, y compris : administration des avantages sociaux, intégration clinique, communications, rémunération et gestion du rendement, services d’équipement et de site, systèmes de technologie des RH, services d’information, vérification interne et amélioration des processus, etc.)
  • Programmes philanthropiques (employés de bureau et mobiles qui exécutent diverses fonctions pour soutenir les programmes philanthropiques)

Sous-traitants

  • Partenaires fabricants et fournisseurs (connectés sur site et à distance via un VPN site à site fournissant diverses fonctions de support non-médical)

Sur la base des informations précédentes, l’organisation a créé les entités suivantes. Pour plus d’informations sur les groupes de mise à disposition dans XenMobile, consultez la section Déployer des ressources.

Unités d’organisation et groupes Active Directory

Unité d’organisation = Ressources XenMobile :

  • Unité d’organisation = personnel médical ; Groupes =
    • XM - Infirmiers/Infirmières
    • XM - Médecins
    • XM - Spécialistes
    • XM - Médecins externes
    • XM - Services de santé à domicile
    • XM - Spécialistes en recherche
    • XM - Éducation et formation
  • Unité d’organisation = non-médical ; Groupes =
    • XM - Services partagés
    • XM - Services médicaux
    • XM - Services de support
    • XM - Programmes philanthropiques

Utilisateurs et groupes locaux XenMobile

Groupe = sous-traitants ; Utilisateurs =

  • Vendor1
  • Vendor2
  • Fournisseur 3
  • … Fournisseur 10

Groupes de mise à disposition XenMobile

  • Personnel médical - Infirmiers/Infirmières
  • Personnel médical - Médecins
  • Personnel médical - Spécialistes
  • Personnel médical - Médecins externes
  • Personnel médical - Services de santé à domicile
  • Personnel médical - Spécialistes en recherche
  • Personnel médical - Éducation et formation
  • Personnel non-médical - Services partagés
  • Personnel non-médical - Services médicaux
  • Personnel non-médical - Services de support
  • Personnel non-médical - Programmes philanthropiques

Groupe de mise à disposition et mappage de groupe d’utilisateurs

   
Groupes Active Directory Groupes de mise à disposition XenMobile
XM - Infirmiers/Infirmières Personnel médical - Infirmiers/Infirmières
XM - Médecins Personnel médical - Médecins
XM - Spécialistes Personnel médical - Spécialistes
XM - Médecins externes Personnel médical - Médecins externes
XM - Services de santé à domicile Personnel médical - Services de santé à domicile
XM - Spécialistes en recherche Personnel médical - Spécialistes en recherche
XM - Éducation et formation Personnel médical - Éducation et formation
XM - Services partagés Personnel non-médical - Services partagés
XM - Services médicaux Personnel non-médical - Services médicaux
XM - Services de support Personnel non-médical - Services de support
XM - Programmes philanthropiques Personnel non-médical - Programmes philanthropiques

Groupe de mise à disposition et mappage des ressources

Les tableaux suivants illustrent les ressources affectées à chaque groupe de mise à disposition dans ce cas d’utilisation. Le premier tableau présente les attributions d’applications mobiles. Le deuxième tableau présente les ressources d’applications publiques, d’applications HDX et de gestion des appareils.

       
Groupes de mise à disposition XenMobile Applications mobiles Citrix Applications mobiles publiques Applications mobiles HDX
Personnel médical - Infirmiers/Infirmières X    
Personnel médical - Médecins      
Personnel médical - Spécialistes      
Personnel médical - Médecins externes X    
Personnel médical - Services de santé à domicile X    
Personnel médical - Spécialistes en recherche X    
Personnel médical - Éducation et formation   X X
Personnel non-médical - Services partagés   X X
Personnel non-médical - Services médicaux   X X
Personnel non-médical - Services de support X X X
Personnel non-médical - Programmes philanthropiques X X X
Sous-traitants X X X
               
Groupes de mise à disposition XenMobile Application publique : RSA SecurID Application publique : EpicCare Haiku Application HDX : Epic Hyperspace Stratégie de code secret Restrictions d’appareil Actions automatisées Stratégie Wi-Fi
Personnel médical - Infirmiers/Infirmières             X
Personnel médical - Médecins         X    
Personnel médical - Spécialistes              
Personnel médical - Médecins externes              
Personnel médical - Services de santé à domicile              
Personnel médical - Spécialistes en recherche              
Personnel médical - Éducation et formation   X X        
Personnel non-médical - Services partagés   X X        
Personnel non-médical - Services médicaux   X X        
Personnel non-médical - Services de support   X X        

Notes et considérations

  • XenMobile crée un groupe de mise à disposition par défaut appelé Tous les utilisateurs lors de la configuration initiale. Si vous ne désactivez pas de ce groupe de mise à disposition, tous les utilisateurs Active Directory ont le droit de s’inscrire à XenMobile.
  • XenMobile synchronise les utilisateurs et les groupes Active Directory à la demande en utilisant une connexion dynamique au serveur LDAP.
  • Si un utilisateur fait partie d’un groupe qui n’est pas mappé dans XenMobile, cet utilisateur ne peut pas s’inscrire. De même, si un utilisateur est membre de plusieurs groupes, XenMobile catégorise l’utilisateur comme étant uniquement dans les groupes mappés à XenMobile.
  • Pour rendre l’inscription MDM obligatoire, définissez l’option Inscription requise sur Vrai dans Propriétés du serveur dans la console XenMobile. Pour de plus amples informations, consultez la section Propriétés du serveur.
  • Vous pouvez supprimer un groupe d’utilisateurs d’un groupe de mise à disposition XenMobile, en supprimant l’entrée dans la base de données SQL Server, sous dbo.userlistgrps. Avertissement : avant d’effectuer cette action, créez une copie de sauvegarde de XenMobile et de la base de données.

À propos de l’appartenance des appareils dans XenMobile Device

Vous pouvez regrouper les utilisateurs en fonction du propriétaire d’un appareil utilisateur. L’appartenance des appareils comprend les appareils appartenant à l’entreprise et les appareils appartenant aux utilisateurs, un programme plus communément appelé Apportez votre propre appareil (BYOD). Vous pouvez contrôler la façon dont les appareils BYOD se connectent à votre réseau à deux endroits dans la console XenMobile : sur la page Règles de déploiement de chaque type de ressource et via les propriétés du serveur sur la page Paramètres. Pour de plus amples informations sur les règles de déploiement, consultez la section Configuration des règles de déploiement dans la documentation XenMobile. Pour de plus amples informations sur les propriétés de serveur, consultez la section Propriétés du serveur.

Vous pouvez demander à tous les utilisateurs BYOD d’accepter que leurs appareils soient gérés par l’entreprise avant qu’ils puissent accéder à des applications. Vous pouvez également autoriser les utilisateurs à accéder aux applications d’entreprise sans gérer leurs appareils.

Lorsque vous définissez la propriété de serveur wsapi.mdm.required.flag sur Vrai, tous les appareils BYOD sont gérés par XenMobile et tout utilisateur refusant l’inscription se voit refuser l’accès aux applications. Le paramétrage de wsapi.mdm.required.flag sur Vrai doit être envisagé dans les environnements dans lesquels les équipes informatiques ont besoin d’un haut niveau de sécurité avec une expérience utilisateur positive, en inscrivant des appareils utilisateur dans XenMobile.

Si vous laissez la valeur wsapi.mdm.required.flag sur Faux, qui est le paramètre par défaut, les utilisateurs pourront refuser l’inscription, mais ne pourront toujours accéder aux applications sur leurs appareils via le XenMobile Store. Le paramétrage de wsapi.mdm.required.flag sur Faux doit être envisagé dans les environnements dans lesquels les contraintes juridiques, de confidentialité et imposées par la législation ne requièrent pas la gestion des appareils mais uniquement la gestion des applications d’entreprise.

Les utilisateurs équipés d’appareils qui ne sont pas gérés peuvent installer des applications via XenMobile Store. À la place des contrôles au niveau de l’appareil, comme l’effacement partiel ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Les stratégies, selon les valeurs que vous avez définies, requièrent que l’appareil vérifie XenMobile Server pour confirmer que les applications sont toujours autorisées à s’exécuter.

Exigences en matière de sécurité

La quantité de considérations de sécurité à prendre en compte lors du déploiement d’un environnement XenMobile peut rapidement devenir écrasante. Il existe de nombreux composants et de paramètres imbriqués. Pour vous aider à démarrer et à choisir un niveau de protection acceptable, Citrix fournit des recommandations pour une sécurité élevée, supérieure et la plus élevée, décrites dans le tableau suivant.

Votre choix de mode de déploiement n’est pas déterminé que par la sécurité. Il est également important d’examiner les exigences des cas d’utilisation et de décider si vous pouvez atténuer les problèmes de sécurité avant de choisir votre mode de déploiement.

Sécurité élevée : l’utilisation de ces paramètres offre une expérience utilisateur optimale tout en maintenant un niveau de sécurité de base acceptable pour la plupart des organisations.

Sécurité supérieure : ces paramètres établissent un meilleur équilibre entre sécurité et facilité d’utilisation.

Sécurité la plus élevée : suivre ces recommandations fournit un haut niveau de sécurité au détriment de la facilité d’utilisation et de l’adoption par les utilisateurs.

Considérations sur la sécurité du mode de déploiement

Le tableau suivant spécifie les modes de déploiement pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
MAM ou MDM MDM+MAM MDM+MAM ; plus FIPS

Remarques :

  • Selon le cas d’utilisation, un déploiement MDM exclusif ou MAM exclusif peut répondre aux exigences de sécurité et offrir une bonne expérience utilisateur.
  • Si vous n’avez pas besoin de conteneurisation d’applications, de micro-VPN ou de stratégies spécifiques aux applications, MDM doit être suffisant pour gérer et sécuriser les appareils.
  • Pour les cas d’utilisation tels que le BYOD dans lequel toutes les exigences de l’entreprise et de sécurité peuvent être satisfaites uniquement avec la conteneurisation d’applications, Citrix recommande le mode MAM exclusif.
  • Pour les environnements à haute sécurité (et les appareils fournis par les entreprises), Citrix recommande MDM+MAM pour tirer parti de toutes les fonctionnalités de sécurité disponibles. Veillez à forcer l’inscription MDM.
  • Options FIPS pour les environnements ayant les besoins de sécurité les plus élevés, tels que le gouvernement fédéral.

Si vous activez le mode FIPS, vous devez configurer SQL Server pour chiffrer le trafic SQL.

Considérations relatives à la sécurité de Citrix ADC et Citrix Gateway

Le tableau suivant spécifie les recommandations Citrix ADC et Citrix Gateway pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Citrix ADC est recommandé. Citrix Gateway est requis pour MAM et ENT ; recommandé pour MDM Configuration standard de l’assistant Citrix ADC pour XenMobile avec pont SSL si XenMobile se trouve dans la zone zone démilitarisée. Ou décharge SSL si nécessaire pour respecter les normes de sécurité lorsque XenMobile Server se trouve sur le réseau interne. Décharge SSL avec cryptage de bout en bout

Remarques :

  • Exposer le XenMobile Server à Internet via NAT ou des proxys tiers existants et des équilibreurs de charge peut être une option pour MDM. Toutefois, cette configuration nécessite que le trafic SSL se termine sur XenMobile Server, ce qui pose un risque potentiel de sécurité.
  • Pour les environnements hautement sécurisé, Citrix ADC défini avec la configuration XenMobile par défaut respecte ou dépasse en général les exigences de sécurité.
  • Pour les environnements MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL sur Citrix ADC permet l’inspection du trafic sur le périmètre et maintient le cryptage SSL de bout en bout.
  • Options pour définir les chiffrements SSL/TLS.
  • Un matériel SSL FIPS Citrix ADC est également disponible.
  • Pour plus d’informations, voir Intégration avec Citrix Gateway et Citrix ADC.

Considérations de sécurité d’inscription

Le tableau suivant spécifie les recommandations Citrix ADC et Citrix Gateway pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé. Mode d’inscription sécurisée sur invitation uniquement. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé Mode d’inscription sécurisée lié à l’ID d’appareil. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé

Remarques :

  • Citrix vous recommande généralement de limiter l’inscription aux utilisateurs appartenant à des groupes Active Directory prédéfinis uniquement. Cette configuration nécessite de désactiver le groupe de mise à disposition intégré Tous les utilisateurs.
  • Vous pouvez utiliser des invitations d’inscription pour restreindre l’inscription aux utilisateurs avec une invitation. Les invitations d’inscription ne sont pas disponibles pour les appareils Windows.
  • Vous pouvez utiliser des invitations à s’inscrire par code PIN unique (OTP) comme solution d’authentification à deux facteurs et contrôler le nombre d’appareils qu’un utilisateur peut inscrire. Les invitations OTP ne sont pas disponibles pour les appareils Windows.

Considérations de sécurité pour le code secret des appareils

Le tableau suivant spécifie les recommandations de code secret de l’appareil pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Recommandée. Une haute sécurité est requise pour le cryptage au niveau de l’appareil. Appliquée à l’aide de MDM. Vous pouvez définir une sécurité élevée comme requis pour MAM exclusif en utilisant la stratégie MDX, Comportement des appareils non conformes. Appliquée en utilisant une stratégie MDM et MDX, ou les deux. Appliquée en utilisant une stratégie MDM et MDX. Stratégie de code secret complexe.

Remarques :

  • Citrix recommande l’utilisation d’un code secret d’appareil.
  • Vous pouvez appliquer un code secret d’appareil via une stratégie MDM.
  • Vous pouvez utiliser une stratégie MDX pour que le code secret d’un appareil soit obligatoire pour l’utilisation des applications gérées ; par exemple, pour les cas d’utilisation BYOD.
  • Citrix recommande de combiner les options de stratégie MDM et MDX pour une sécurité accrue dans les environnements MDM+MAM.
  • Pour les environnements ayant les exigences de sécurité les plus élevées, vous pouvez configurer des stratégies de code d’accès complexes et les appliquer avec MDM. Vous pouvez configurer des actions automatiques pour informer les administrateurs ou émettre des effacements sélectifs/complets lorsqu’un appareil ne respecte pas une stratégie de code d’accès.
Sécurité et expérience utilisateur