Communautés d’utilisateurs
Chaque organisation est composée de diverses communautés d’utilisateurs qui opèrent dans différents rôles fonctionnels. Ces communautés d’utilisateurs effectuent différentes tâches et fonctions de bureau en utilisant diverses ressources que vous fournissez via des appareils mobiles d’utilisateur. Les utilisateurs peuvent travailler à domicile ou dans des bureaux distants en utilisant des appareils mobiles que vous fournissez, ou ils peuvent utiliser des appareils mobiles personnels, ce qui leur permet d’accéder à des outils soumis à certaines règles de conformité de sécurité.
Avec de plus en plus de communautés d’utilisateurs utilisant des appareils mobiles, la gestion de la mobilité d’entreprise (EMM) devient essentielle pour prévenir les fuites de données et appliquer les restrictions de sécurité organisationnelles. Pour une gestion des appareils mobiles efficace et plus sophistiquée, vous pouvez catégoriser vos communautés d’utilisateurs. Cela simplifie le mappage des utilisateurs aux ressources et garantit que les bonnes stratégies de sécurité s’appliquent aux bons utilisateurs.
La catégorisation des communautés d’utilisateurs peut inclure l’utilisation des composants suivants :
-
Unités d’organisation (UO) et groupes Active Directory
Les utilisateurs ajoutés à des groupes de sécurité Active Directory spécifiques peuvent recevoir des stratégies et des ressources, telles que des applications. La suppression d’utilisateurs des groupes de sécurité Active Directory supprime l’accès aux ressources XenMobile® précédemment autorisées.
-
Utilisateurs et groupes locaux XenMobile
Pour les utilisateurs qui n’ont pas de compte dans Active Directory, vous pouvez créer les utilisateurs en tant qu’utilisateurs locaux XenMobile. Vous pouvez ajouter des utilisateurs locaux à des groupes de mise à disposition et leur attribuer des ressources de la même manière que les utilisateurs Active Directory.
-
Groupes de mise à disposition XenMobile
Si plusieurs groupes d’utilisateurs avec différents niveaux d’autorisations doivent consommer une seule application, vous devrez peut-être créer des groupes de mise à disposition distincts. Avec des groupes de mise à disposition distincts, vous pouvez déployer deux versions distinctes de la même application.
-
Mappage des groupes de mise à disposition et des groupes d’utilisateurs
Les mappages de groupes de mise à disposition à des groupes Active Directory peuvent être un à un, ou un à plusieurs. Attribuez des stratégies de base et des applications à un mappage de groupe de mise à disposition un à plusieurs. Attribuez des stratégies et des applications spécifiques à une fonction à des mappages de groupes de mise à disposition un à un.
-
Mappage des groupes de mise à disposition et des ressources d’applications
Attribuez des applications spécifiques à chaque groupe de mise à disposition.
-
Mappage des groupes de mise à disposition et des ressources MDM
Attribuez des applications et des ressources de gestion des appareils spécifiques à chaque groupe de mise à disposition. Par exemple, configurez un groupe de mise à disposition avec n’importe quelle combinaison des éléments suivants : types d’applications (publiques, HDX™, etc.), applications spécifiques par type d’application et ressources telles que des stratégies d’appareil et des actions automatisées.
L’exemple suivant illustre comment les communautés d’utilisateurs d’un organisme de santé sont classées pour l’EMM.
Cas d’utilisation
Cet exemple d’organisme de santé fournit des ressources technologiques et un accès à de multiples utilisateurs, y compris des employés du réseau et des affiliés, ainsi que des bénévoles. L’organisation a choisi de déployer la solution EMM uniquement auprès des utilisateurs non-cadres.
Vous pouvez diviser les rôles et fonctions des utilisateurs pour cette organisation en sous-groupes, notamment : personnel clinique, personnel non clinique et contractants. Un ensemble sélectionné d’utilisateurs reçoit des appareils mobiles d’entreprise, tandis que d’autres peuvent accéder à des ressources d’entreprise limitées depuis leurs appareils personnels (BYOD). Pour appliquer le niveau approprié de restrictions de sécurité et prévenir les fuites de données, l’organisation a décidé que l’informatique d’entreprise gère chaque appareil inscrit. De plus, les utilisateurs ne peuvent inscrire qu’un seul appareil.
Les sections suivantes donnent un aperçu des rôles et fonctions de chaque sous-groupe.
Personnel clinique
- Infirmiers/Infirmières
- Médecins (médecins généralistes, chirurgiens, etc.)
- Spécialistes (diététiciens, phlébotomistes, anesthésiologistes, radiologues, cardiologues, oncologues, etc.)
- Médecins externes (médecins non-employés et employés de bureau travaillant depuis des bureaux distants)
- Services de soins à domicile (employés de bureau et mobiles effectuant des services médicaux pour les visites à domicile des patients)
- Spécialiste de recherche (travailleurs du savoir et utilisateurs expérimentés dans six instituts de recherche effectuant des recherches cliniques pour trouver des réponses aux problèmes de médecine)
- Éducation et formation (infirmiers/infirmières, médecins et spécialistes en éducation et formation)
Personnel non clinique
- Services partagés (employés de bureau effectuant diverses fonctions de back-office, y compris : RH, paie, comptes fournisseurs, service de la chaîne d’approvisionnement, etc.)
- Services aux médecins (employés de bureau effectuant diverses gestions de soins de santé, services administratifs et solutions de processus métier pour les prestataires, y compris : services administratifs, analyses et veille économique, systèmes d’entreprise, services clients, finance, administration des soins gérés, solutions d’accès aux patients, solutions de cycle de revenus, etc.)
- Services de support (employés de bureau effectuant diverses fonctions non cliniques, y compris : administration des avantages sociaux, intégration clinique, communications, gestion de la rémunération et des performances, services d’installations et de propriétés, systèmes technologiques RH, services d’information, audit interne et amélioration des processus, etc.)
- Programmes philanthropiques (employés de bureau et mobiles effectuant diverses fonctions en soutien aux programmes philanthropiques)
Contractants
- Partenaires fabricants et fournisseurs (sur site et connectés à distance via un VPN site à site fournissant diverses fonctions de support non cliniques)
Sur la base des informations précédentes, l’organisation a créé les entités suivantes. Pour plus d’informations sur les groupes de mise à disposition dans XenMobile, consultez Déployer des ressources dans la documentation produit XenMobile.
Unités d’organisation (UO) et groupes Active Directory
Pour UO = Ressources XenMobile
- UO = Clinique ; Groupes =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- UO = Non-Clinique ; Groupes =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
Utilisateurs et groupes locaux XenMobile
Pour Groupe = Contractants, Utilisateurs =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
Groupes de mise à disposition XenMobile
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
Mappage des groupes de mise à disposition et des groupes d’utilisateurs
| Groupes Active Directory | Groupes de mise à disposition XenMobile |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
Mappage des groupes de mise à disposition et des ressources d’applications
| Secure Mail | Secure Web | ShareFile | Receiver | SalesForce1 | RSA SecurID | EpicCare Haiku | Epic Hyperspace | |
| Clinical-Nurses | X | X | X | |||||
| Clinical-Physicians | ||||||||
| Clinical-Specialists | ||||||||
| Clinical-Outside Physicians | X | X | ||||||
| Clinical-Home Health Services | X | X | ||||||
| Clinical-Research Specialist | X | X | ||||||
| Clinical-Education and Training | X | X | ||||||
| Non-Clinical-Shared Services | X | X | ||||||
| Non-Clinical-Physician Services | X | X | ||||||
| Non-Clinical-Support Services | X | X | X | X | ||||
| Non-Clinical-Philanthropic Programs | X | X | X | X | ||||
| Contractors | X | X | X | X | X | X |
Mappage des groupes de mise à disposition et des ressources MDM
| MDM : Stratégie de code secret | MDM : Restrictions d’appareil | MDM : Actions automatisées | MDM : Stratégie Wi-Fi | |
| Clinical-Nurses | X | |||
| Clinical-Physicians | X | |||
| Clinical-Specialists | ||||
| Clinical-Outside Physicians | ||||
| Clinical-Home Health Services | ||||
| Clinical-Research Specialist | ||||
| Clinical-Education and Training | ||||
| Non-Clinical-Shared Services | ||||
| Non-Clinical-Physician Services | ||||
| Non-Clinical-Support Services | ||||
| Non-Clinical-Philanthropic Programs | ||||
| Contractors | X |
Remarques et considérations
- XenMobile crée un groupe de mise à disposition par défaut nommé Tous les utilisateurs lors de la configuration initiale. Si vous ne désactivez pas ce groupe de mise à disposition, tous les utilisateurs Active Directory ont le droit de s’inscrire à XenMobile.
- XenMobile synchronise les utilisateurs et les groupes Active Directory à la demande à l’aide d’une connexion dynamique au serveur LDAP.
- Si un utilisateur fait partie d’un groupe qui n’est pas mappé dans XenMobile, cet utilisateur ne peut pas s’inscrire. De même, si un utilisateur est membre de plusieurs groupes, XenMobile ne le catégorise que comme faisant partie des groupes mappés à XenMobile.
- Pour rendre l’inscription MDM obligatoire, définissez l’option Inscription requise sur True dans les Propriétés du serveur de la console XenMobile. Pour plus de détails, consultez Propriétés du serveur.
- Pour supprimer un groupe d’utilisateurs d’un groupe de mise à disposition XenMobile, supprimez l’entrée dans la base de données SQL Server, sous dbo.userlistgrps.
Attention :
Avant d’effectuer cette action, créez une sauvegarde de XenMobile et de la base de données.
À propos de la propriété des appareils dans XenMobile
Vous pouvez regrouper les utilisateurs en fonction du propriétaire d’un appareil utilisateur. La propriété des appareils inclut les appareils appartenant à l’entreprise et les appareils appartenant à l’utilisateur, également connus sous le nom de BYOD (apportez votre propre appareil). Vous pouvez contrôler la façon dont les appareils BYOD se connectent à votre réseau à deux endroits dans la console XenMobile : dans les règles de déploiement et via les propriétés du serveur XenMobile sur la page Paramètres. Pour plus de détails sur les règles de déploiement, consultez Déployer des ressources dans la documentation XenMobile. Pour plus de détails sur les propriétés du serveur, consultez Propriétés du serveur dans ce manuel.
En définissant les propriétés du serveur, vous pouvez exiger que tous les utilisateurs BYOD acceptent la gestion d’entreprise de leurs appareils avant de pouvoir accéder aux applications. Ou, vous pouvez donner aux utilisateurs l’accès aux applications d’entreprise sans gérer leurs appareils.
Lorsque vous définissez la propriété du serveur wsapi.mdm.required.flag sur true, XenMobile gère tous les appareils BYOD, et tout utilisateur qui refuse l’inscription se voit refuser l’accès aux applications. Envisagez de définir wsapi.mdm.required.flag sur true dans les environnements où les équipes informatiques d’entreprise ont besoin d’une sécurité élevée et d’une expérience utilisateur positive lors de l’inscription.
Si vous laissez wsapi.mdm.required.flag sur false, ce qui est le paramètre par défaut, les utilisateurs peuvent refuser l’inscription. Cependant, ils peuvent accéder aux applications sur leurs appareils via le Store XenMobile. Envisagez de définir wsapi.mdm.required.flag sur false dans les environnements où des contraintes de confidentialité, légales ou réglementaires exigent l’absence de gestion des appareils, uniquement la gestion des applications d’entreprise.
Les utilisateurs dont les appareils ne sont pas gérés par XenMobile peuvent installer des applications via le Store XenMobile. Au lieu de contrôles au niveau de l’appareil, tels que l’effacement sélectif ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Certains paramètres de stratégie exigent que l’appareil vérifie régulièrement le serveur XenMobile pour confirmer que les applications sont toujours autorisées à s’exécuter.