Modos de Gerenciamento
Para cada instância do XenMobile® (um único servidor ou um cluster de nós), você pode escolher se deseja gerenciar dispositivos, aplicativos ou ambos. O XenMobile usa os seguintes termos para os modos de gerenciamento de dispositivos e aplicativos:
- Modo de gerenciamento de dispositivos móveis (modo MDM)
- Modo de gerenciamento de aplicativos móveis (modo MAM)
- Modo MDM+MAM (modo Enterprise)
Gerenciamento de dispositivos móveis (modo MDM)
Importante:
Se você configurar o modo MDM e depois mudar para o modo ENT, certifique-se de usar a mesma autenticação (Active Directory). O XenMobile não oferece suporte à alteração do modo de autenticação após o registro do usuário. Para obter mais informações, consulte Atualizar.
Com o MDM, você pode configurar, proteger e dar suporte a dispositivos móveis. O MDM permite proteger dispositivos e dados em dispositivos no nível do sistema. Você pode configurar políticas, ações e funções de segurança. Por exemplo, você pode apagar um dispositivo seletivamente se ele for perdido, roubado ou estiver fora de conformidade. Embora o gerenciamento de aplicativos não esteja disponível no modo MDM, você pode entregar aplicativos móveis, como aplicativos de lojas públicas e aplicativos corporativos, neste modo. Os seguintes são casos de uso comuns para o modo MDM:
- O MDM é uma consideração para dispositivos de propriedade corporativa onde políticas ou restrições de gerenciamento no nível do dispositivo, como limpeza completa, limpeza seletiva ou geolocalização, são necessárias.
- Quando os clientes exigem o gerenciamento de um dispositivo real, mas não exigem políticas MDX, como conteinerização de aplicativos, controles de compartilhamento de dados de aplicativos ou micro VPN.
- Quando os usuários precisam apenas de e-mail entregue aos seus clientes de e-mail nativos em seus dispositivos móveis, e o Exchange ActiveSync ou o Client Access Server já está acessível externamente. Neste caso de uso, você pode usar o MDM para configurar a entrega de e-mail.
- Ao implantar aplicativos corporativos nativos (não MDX), aplicativos de lojas públicas ou aplicativos MDX entregues de lojas públicas. Considere que uma solução MDM sozinha pode não impedir o vazamento de dados confidenciais entre aplicativos no dispositivo. O vazamento de dados pode ocorrer com operações de copiar e colar ou Salvar como em aplicativos do Office 365.
Gerenciamento de aplicativos móveis (modo MAM)
O MAM protege os dados dos aplicativos e permite controlar o compartilhamento de dados dos aplicativos. O MAM também permite o gerenciamento de dados e recursos corporativos, separadamente dos dados pessoais. Com o XenMobile configurado para o modo MAM, você pode usar aplicativos móveis habilitados para MDX para fornecer conteinerização e controle por aplicativo. O termo modo MAM também é chamado de modo somente MAM. Este termo distingue este modo de um modo MAM herdado.
Ao usar políticas MDX, o XenMobile fornece controle no nível do aplicativo sobre o acesso à rede (como micro VPN), interação entre aplicativo e dispositivo, criptografia de dados e acesso a aplicativos.
O MAM é frequentemente adequado para dispositivos próprios (BYO) porque, embora o dispositivo não seja gerenciado, os dados corporativos permanecem protegidos. O MDX possui muitas políticas somente MAM que não exigem um controle MDM.
O MAM também oferece suporte aos aplicativos de produtividade móvel. Este suporte inclui entrega segura de e-mail para o Citrix Secure Mail, compartilhamento de dados entre os aplicativos de produtividade móvel seguros e armazenamento seguro de dados no Citrix Files. Para obter detalhes, consulte aplicativos de produtividade móvel.
O MAM é frequentemente adequado para os seguintes exemplos:
- Você entrega aplicativos móveis, como aplicativos MDX, gerenciados no nível do aplicativo.
- Você não é obrigado a gerenciar dispositivos no nível do sistema.
MDM+MAM (modo Enterprise)
O MDM+MAM é um modo híbrido, também chamado de modo Enterprise, que habilita todos os conjuntos de recursos disponíveis na solução XenMobile Enterprise Mobility Management (EMM). A configuração do XenMobile com o modo MDM+MAM habilita os recursos de MDM e MAM.
O XenMobile permite especificar se os usuários podem optar por não participar do gerenciamento de dispositivos ou se você exige o gerenciamento de dispositivos. Essa flexibilidade é útil para ambientes que incluem uma mistura de casos de uso. Esses ambientes podem ou não exigir o gerenciamento de um dispositivo por meio de políticas MDM para acessar seus recursos MAM.
O MDM+MAM é adequado para os seguintes exemplos:
- Você tem um único caso de uso em que tanto o MDM quanto o MAM são necessários. O MDM é necessário para acessar seus recursos MAM.
- Alguns casos de uso exigem MDM, enquanto outros não.
- Alguns casos de uso exigem MAM, enquanto outros não.
Você especifica o modo de gerenciamento para o XenMobile Server por meio da propriedade Modo do Servidor. Você configura a definição no console do XenMobile. O modo pode ser MDM, MAM ou ENT (para MDM+MAM).
A edição do XenMobile para a qual você possui uma licença determina os modos de gerenciamento e outros recursos disponíveis, conforme mostrado na tabela a seguir.
| Edição XenMobile MDM | Edição XenMobile Advanced |
| Recursos MDM | Recursos MDM |
| - | Recursos MAM |
| - | SDK MAM |
| Secure Hub | Secure Hub |
| - | Secure Mail |
| - | Secure Web |
Modos de gerenciamento e perfis de registro
Os modos de gerenciamento e os perfis de registro funcionam juntos. Você usa um perfil de registro para configurar as opções de registro de gerenciamento de dispositivos e aplicativos para dispositivos Android e iOS. Para Android, as opções de registro disponíveis para o modo de servidor MDM+MAM diferem das opções para o modo MDM. Para obter mais informações, consulte Perfis de registro.
Gerenciamento de Dispositivos e Registro MDM
Um ambiente XenMobile Enterprise pode incluir uma mistura de casos de uso, alguns dos quais exigem gerenciamento de dispositivos por meio de políticas MDM para permitir o acesso a recursos MAM. Antes de implantar aplicativos de produtividade móvel para usuários, avalie completamente seus casos de uso e decida se deve exigir o registro MDM. Se você decidir posteriormente alterar o requisito para o registro MDM, é provável que os usuários precisem registrar novamente seus dispositivos.
Observação:
Para especificar se você exige que os usuários se registrem no MDM, use a propriedade do XenMobile Server Registro Necessário no console do XenMobile (Configurações > Propriedades do Servidor). Essa propriedade global do servidor se aplica a todos os usuários e dispositivos da instância do XenMobile. A propriedade se aplica somente quando o Modo do Servidor XenMobile é ENT.
A seguir, um resumo das vantagens e desvantagens (juntamente com as mitigações) de exigir o registro MDM em uma implantação no modo XenMobile Enterprise.
Quando o registro MDM é opcional
Vantagens:
- Os usuários podem acessar recursos MAM sem colocar seus dispositivos sob gerenciamento MDM. Essa opção pode aumentar a adoção pelos usuários.
- Capacidade de proteger o acesso a recursos MAM para proteger dados corporativos.
- Políticas MDX, como Senha do Aplicativo, podem controlar o acesso a aplicativos para cada aplicativo MDX.
- A configuração do Citrix ADC, XenMobile Server e tempos limite por aplicativo, juntamente com o PIN do Citrix, fornecem uma camada extra de proteção.
- Embora as ações MDM não se apliquem ao dispositivo, algumas políticas MDX estão disponíveis para negar o acesso MAM. A negação seria baseada em configurações do sistema, como dispositivos com jailbreak ou root.
- Os usuários podem escolher se desejam registrar seu dispositivo com MDM durante o primeiro uso.
Desvantagens:
- Recursos MAM estão disponíveis para dispositivos não registrados no MDM.
- Políticas e ações MDM estão disponíveis apenas para dispositivos registrados no MDM.
Opções de mitigação:
- Faça com que os usuários concordem com os termos e condições da empresa que os responsabilizam se optarem por sair da conformidade. Peça aos administradores para monitorar dispositivos não gerenciados.
- Gerencie o acesso e a segurança de aplicativos usando temporizadores de aplicativos. Valores de tempo limite diminuídos aumentam a segurança, mas podem afetar a experiência do usuário.
- Um segundo ambiente XenMobile com registro MDM obrigatório é uma opção. Ao considerar essa opção, tenha em mente a sobrecarga adicional de gerenciar dois ambientes e os recursos adicionais necessários.
Quando o registro MDM é obrigatório
Vantagens:
- Capacidade de restringir o acesso a recursos MAM apenas a dispositivos gerenciados por MDM.
- Políticas e ações MDM podem ser aplicadas a todos os dispositivos no ambiente conforme desejado.
- Os usuários não podem optar por não registrar seu dispositivo.
Desvantagens:
- Exige que todos os usuários se registrem no MDM.
- Pode diminuir a adoção para usuários que se opõem ao gerenciamento corporativo de seus dispositivos pessoais.
Opções de mitigação:
- Eduque os usuários sobre o que o XenMobile realmente gerencia em seus dispositivos e quais informações os administradores podem acessar.
- Você pode usar um segundo ambiente XenMobile, com um Modo de Servidor MAM (também chamado de modo somente MAM), para dispositivos que não precisam de gerenciamento MDM. Ao considerar essa opção, tenha em mente a sobrecarga adicional de gerenciar dois ambientes e os recursos adicionais necessários.
Sobre os modos MAM e MAM Herdado
O XenMobile 10.3.5 introduziu um novo modo de servidor somente MAM. Para distinguir os modos MAM anterior e novo, a documentação usa esses termos. O novo modo é chamado de somente MAM ou MA, o modo MAM anterior é chamado de modo MAM herdado.
O modo somente MAM está em vigor quando a propriedade Modo do Servidor do XenMobile é MAM. Os dispositivos se registram no modo MAM.
A funcionalidade MAM herdada está em vigor quando a propriedade Modo do Servidor do XenMobile é ENT e os usuários optam por não participar do gerenciamento de dispositivos. Nesse caso, os dispositivos se registram no modo MAM. Os usuários que optam por não participar do gerenciamento MDM continuam a receber a funcionalidade MAM herdada.
Observação:
Anteriormente, definir a propriedade Modo do Servidor como MAM tinha o mesmo efeito que defini-la como ENT: os usuários que optavam por não participar do gerenciamento MDM recebiam a funcionalidade MAM herdada.
A tabela a seguir resume a configuração do Modo do Servidor a ser usada para um tipo de licença específico e modo de dispositivo desejado:
| Suas licenças são para esta edição | Você quer que os dispositivos se registrem neste modo | Defina a propriedade Modo do Servidor como |
| Enterprise/Advanced/MDM | Modo MDM | MDM |
| Enterprise/Advanced | Modo MAM (também chamado de modo somente MAM) | MAM |
| Enterprise/Advanced | Modo MDM+MAM | ENT (Usuários que optam por não participar do gerenciamento de dispositivos operam no modo MAM herdado.) |
O modo somente MAM oferece suporte aos seguintes recursos que antes estavam disponíveis apenas para ENT.
- Autenticação baseada em certificado: O modo somente MAM oferece suporte à autenticação baseada em certificado. Os usuários experimentam acesso contínuo aos seus aplicativos mesmo quando a senha do Active Directory expira. Se você usar autenticação baseada em certificado para dispositivos MAM, deverá configurar seu Citrix Gateway. Por padrão, em Configurações do XenMobile > Citrix Gateway, a opção Entregar o certificado do usuário para autenticação está definida como Desativado, o que significa que a autenticação por nome de usuário e senha é usada. Altere essa configuração para Ativado para habilitar a autenticação por certificado.
- Portal de Autoatendimento: Para permitir que os usuários façam seu próprio bloqueio e limpeza de aplicativos. Essas ações se aplicam a todos os aplicativos no dispositivo. Você pode configurar as ações Bloquear Aplicativo e Limpar Aplicativo em Configurar > Ações.
- Todos os modos de segurança de registro: Incluindo Alta Segurança, URL de Convite e Dois Fatores, configurados por meio de Gerenciar > Convites de Registro.
- Limite de registro de dispositivos para dispositivos Android e iOS: A propriedade do servidor Número de Dispositivos por Usuário foi movida para Configurar > Perfis de Registro e agora se aplica a todos os modos de servidor.
- APIs somente MAM: Para dispositivos somente MAM, você pode chamar serviços REST usando qualquer cliente REST e a API REST do XenMobile para chamar serviços que o console do XenMobile expõe.
- As APIs somente MAM permitem que você:
- Enviar uma URL de convite e um PIN de uso único.
- Emitir bloqueio e limpeza de aplicativos em dispositivos.
A tabela a seguir resume as diferenças entre a funcionalidade MAM herdada e somente MAM.
| Cenários de Registro e Outros Recursos | MAM Herdado (o modo do servidor é ENT) | Modo somente MAM (o modo do servidor é MAM) |
| Autenticação por certificado | Não suportado. | Suportado. Para autenticação por certificado, o Citrix Gateway é necessário. |
| Requisito de implantação | O XenMobile Server não precisa ser diretamente acessível a partir dos dispositivos. | O XenMobile Server não precisa ser diretamente acessível a partir dos dispositivos. |
| Opção de registro | Use o FQDN do Citrix Gateway ou, ao usar o FQDN do MDM, opte por não registrar. | Use o FQDN do XenMobile Server. |
| Métodos de registro* | Nome de usuário + Senha | Nome de usuário + Senha, Alta Segurança, URL de Convite, URL de Convite+PIN, URL de Convite + Senha, Dois Fatores, Nome de usuário + PIN |
| Bloqueio e limpeza de aplicativos | Suportado. | Suportado. |
| Opções do Portal de Autoatendimento para bloqueio e limpeza de aplicativos | Não suportado. | Suportado. |
| Comportamento de limpeza de aplicativos | Os aplicativos permanecem no dispositivo, mas não são utilizáveis. O XenMobile exclui a conta apenas no cliente. | Os aplicativos permanecem no dispositivo, mas não são utilizáveis. O XenMobile exclui a conta apenas no cliente. |
| Ações automatizadas para usuários somente MAM. | Ações de evento, propriedade do dispositivo, propriedade do usuário são suportadas. Não suporta ações automatizadas baseadas em aplicativos instalados. | Suporta ações de evento, propriedade do dispositivo, propriedade do usuário e algumas ações baseadas em aplicativos, incluindo limpeza e bloqueio de aplicativos. |
| Ação integrada quando um usuário do Active Directory é excluído | Suporta limpeza de aplicativos. | Suporta limpeza de aplicativos. |
| Limite de registro | Suportado; configurado por meio de um perfil de registro. | Suportado; configurado por meio de um perfil de registro. |
| Inventário de software | Suportado. O XenMobile lista os aplicativos instalados em um dispositivo. | Não suportado. |
*Em relação às notificações: SMTP é o único método suportado para enviar convites de registro.
Importante:
Para o modo somente MAM, os usuários previamente registrados devem registrar novamente seus dispositivos. Certifique-se de fornecer aos usuários o FQDN do XenMobile Server de que precisam para o registro. No modo somente MAM, assim como no modo ENT, os dispositivos se registram usando o FQDN do XenMobile Server. (No modo MAM herdado, os dispositivos se registram usando o FQDN do Citrix Gateway.)
Neste artigo
- Gerenciamento de dispositivos móveis (modo MDM)
- Gerenciamento de aplicativos móveis (modo MAM)
- MDM+MAM (modo Enterprise)
- Modos de gerenciamento e perfis de registro
- Gerenciamento de Dispositivos e Registro MDM
- Quando o registro MDM é opcional
- Quando o registro MDM é obrigatório
- Sobre os modos MAM e MAM Herdado