安全性和用户体验
任何组织都非常重视安全性,但您需要在安全性和用户体验之间取得平衡。例如,您可能拥有一个高度安全但用户难以使用的环境。或者,您的环境可能非常用户友好,但访问控制不够严格。本虚拟手册中的其他部分详细介绍了安全功能。本文旨在概述常见的安全问题以及 XenMobile 中可用的安全选项。
以下是每个用例需要牢记的一些关键注意事项:
- 您是想保护某些应用程序、整个设备,还是两者都保护?
- 您希望用户如何验证其身份?您打算使用 LDAP、基于证书的身份验证,还是两者的组合?
- 您希望如何处理用户会话超时?请记住,后台服务、Citrix ADC 以及离线访问应用程序的超时值是不同的。
- 您希望用户设置设备级密码、应用程序级密码,还是两者都设置?您希望为用户提供多少次登录尝试?请记住,通过 MAM 实施的额外应用程序级身份验证要求可能会如何影响用户体验。
- 您还想对用户施加哪些其他限制?您是否希望用户访问 Siri 等云服务?对于您提供给他们的每个应用程序,他们可以做什么和不可以做什么?您是否希望部署企业 Wi-Fi 策略,以防止在办公场所内消耗蜂窝数据流量?
应用程序与设备
首先要考虑的是,是仅使用移动应用程序管理 (MAM) 来保护某些应用程序,还是也想使用移动设备管理 (MDM) 来管理整个设备。最常见的情况是,如果您不需要设备级控制,则只管理移动应用程序,尤其是在您的组织支持自带设备 (BYOD) 的情况下。
使用 XenMobile 不管理的设备的用户可以通过应用程序商店安装应用程序。您可以通过应用程序策略控制对应用程序的访问,而不是通过设备级控制(例如选择性擦除或完全擦除)。这些策略(取决于您设置的值)要求设备定期检查 XenMobile,以确认应用程序仍被允许运行。
MDM 允许您保护整个设备,包括清点设备上所有软件的功能。如果设备已越狱、已获得 root 权限或安装了不安全的软件,您可以阻止注册。但是,这种级别的控制会让用户对允许对个人设备拥有如此大的权力感到担忧,并可能降低注册率。
身份验证
身份验证是用户体验的重要组成部分。如果您的组织已运行 Active Directory,则使用 Active Directory 是让用户访问系统的最简单方法。
身份验证用户体验的另一个重要部分是超时。高安全性环境可以要求用户每次访问系统时都登录,但该选项并非适用于所有组织。例如,让用户每次访问电子邮件时都输入其凭据会显著影响用户体验。
用户熵
为了增强安全性,您可以启用一项名为 user entropy 的功能。Citrix Secure Hub™ 和其他一些应用程序通常共享密码、PIN 和证书等常见数据,以确保一切正常运行。此信息存储在 Secure Hub 内的通用保管库中。如果您通过加密机密选项启用用户熵,XenMobile 将创建一个名为 UserEntropy 的新保管库。XenMobile 会将信息从通用保管库移动到新保管库中。要让 Secure Hub 或其他应用程序访问数据,用户必须输入密码或 PIN。
启用用户熵会在多个位置添加另一层身份验证。因此,每次应用程序需要访问 UserEntropy 保管库中的共享数据(包括证书)时,用户都必须输入密码或 PIN。
您可以通过阅读 XenMobile 文档中的关于 MDX Toolkit 了解有关用户熵的更多信息。要启用用户熵,您可以在客户端属性中找到相关设置。
策略
MDX 和 MDM 策略都为组织提供了极大的灵活性,但它们也可能限制用户。例如,您可能希望阻止访问 Siri 或 iCloud 等云应用程序,这些应用程序有可能将敏感数据发送到各种位置。您可以设置策略来阻止访问这些服务,但请记住,此类策略可能会产生意想不到的后果。iOS 键盘麦克风也依赖于云访问,您也可能会阻止访问该功能。
应用程序
企业移动性管理 (EMM) 分为移动设备管理 (MDM) 和移动应用程序管理 (MAM)。MDM 使组织能够保护和控制移动设备,而 MAM 则促进应用程序交付和管理。随着 BYOD 的日益普及,您通常可以实施 MAM 解决方案来协助应用程序交付、软件许可、配置和应用程序生命周期管理。
借助 XenMobile,您可以通过配置特定的 MAM 策略和 VPN 设置来进一步保护这些应用程序,以防止数据泄露和其他安全威胁。XenMobile 为组织提供了部署以下任何解决方案的灵活性:
- 仅限 MAM 的环境
- 仅限 MDM 的环境
- 在同一平台中提供 MDM 和 MAM 功能的统一 XenMobile Enterprise 环境
除了能够将应用程序交付到移动设备之外,XenMobile 还通过 MDX 技术提供应用程序容器化。MDX 通过独立于平台提供的设备级加密的加密来保护应用程序。您可以擦除或锁定应用程序,并且应用程序受精细的基于策略的控制。独立软件供应商 (ISV) 可以使用 Mobile Apps SDK 应用这些控制。
在企业环境中,用户使用各种移动应用程序来协助其工作。这些应用程序可以包括来自公共应用程序商店的应用程序、内部开发的应用程序和本机应用程序。XenMobile 将这些应用程序分类如下:
公共应用程序: 这些应用程序包括在公共应用程序商店(例如 Apple App Store 或 Google Play)中提供的免费或付费应用程序。组织外部的供应商通常会在公共应用程序商店中提供其应用程序。此选项允许其客户直接从 Internet 下载应用程序。根据用户的需求,您可能在组织中使用许多公共应用程序。此类应用程序的示例包括 GoToMeeting、Salesforce 和 EpicCare 应用程序。
Citrix 不支持直接从公共应用程序商店下载应用程序二进制文件,然后使用 MDX Toolkit 将其打包以进行企业分发。要启用第三方应用程序的 MDX 功能,请联系您的应用程序供应商以获取应用程序二进制文件。您可以使用 MDX Toolkit 打包二进制文件,或将 MAM SDK 与二进制文件集成。
内部应用程序: 许多组织都有内部开发人员,他们创建提供特定功能的应用程序,并在组织内部独立开发和分发。在某些情况下,一些组织也可能拥有 ISV 提供的应用程序。您可以将此类应用程序部署为本机应用程序,也可以使用 MAM 解决方案(例如 XenMobile)对应用程序进行容器化。例如,医疗保健组织可以创建一个内部应用程序,允许医生在移动设备上查看患者信息。然后,组织可以启用 MAM SDK 或 MDM 包装应用程序,以保护患者信息并启用对后端患者数据库服务器的 VPN 访问。
Web 和 SaaS 应用程序: 这些应用程序包括从内部网络(Web 应用程序)或通过公共网络 (SaaS) 访问的应用程序。XenMobile 还允许您使用应用程序连接器列表创建自定义 Web 和 SaaS 应用程序。这些应用程序连接器可以促进对现有 Web 应用程序的单点登录 (SSO)。有关详细信息,请参阅应用程序连接器类型。例如,您可以将 Google Apps SAML 用于基于安全断言标记语言 (SAML) 的 Google Apps SSO。
移动生产力应用程序: 随 XenMobile 许可证附带的 Citrix 开发的应用程序。有关详细信息,请参阅关于移动生产力应用程序。Citrix 还提供其他由 ISV 使用 Mobile Apps SDK 开发的业务就绪型应用程序。
HDX 应用程序: 您使用 StoreFront 发布的 Windows 托管应用程序。如果您有 Citrix Virtual Apps and Desktops™ 环境,则可以将应用程序与 XenMobile 集成,以使已注册的用户可以使用这些应用程序。
根据您计划使用 XenMobile 部署和管理的移动应用程序类型,底层配置和体系结构会有所不同。例如,如果多个具有不同权限级别的用户组使用单个应用程序,您可能需要单独的交付组来部署两个版本的应用程序。此外,您必须确保用户组成员资格是互斥的,以避免用户设备上的策略不匹配。
您可能还希望通过 Apple 批量采购来管理 iOS 应用程序许可。此选项要求您注册 Apple 批量采购并在 XenMobile 控制台中配置 XenMobile 批量采购设置,以分发具有批量采购许可证的应用程序。各种此类用例使得在实施 XenMobile 环境之前评估和规划您的 MAM 策略变得非常重要。您可以通过定义以下内容来开始规划您的 MAM 策略:
应用类型: 列出您计划支持的不同应用类型,然后对其进行分类。例如:公共应用、本机应用、移动生产力应用、Web 应用、内部应用、ISV 应用等。此外,还要根据不同的设备平台(例如 iOS 和 Android)对应用进行分类。这种分类有助于您调整每种应用类型所需的 XenMobile 设置。例如,某些应用可能不符合封装条件,或者可能需要 Mobile Apps SDK 才能启用用于与其他应用交互的特殊 API。
网络要求: 使用适当的设置配置具有特定网络访问要求的应用。例如,某些应用可能需要通过 VPN 访问您的内部网络。某些应用可能需要 Internet 访问才能通过 DMZ 路由访问。为了允许此类应用连接到所需网络,您必须相应地配置各种设置。定义每个应用的特定网络要求有助于尽早确定您的架构决策,从而简化整个实施过程。
安全要求: 定义适用于单个应用或所有应用的安全要求至关重要。该规划可确保您在安装 XenMobile Server 时创建正确的配置。尽管 MDX 策略等设置适用于单个应用,但会话和身份验证设置适用于所有应用。某些应用可能具有特定的加密、容器化、封装、身份验证、地理围栏、密码或数据共享要求,您可以提前概述这些要求以简化部署。
部署要求: 您可能希望使用基于策略的部署,以仅允许合规用户下载已发布的应用程序。例如,您可能希望某些应用需要满足以下任一条件:
- 启用基于设备平台的加密
- 设备受管理
- 设备满足最低操作系统版本要求
- 某些应用仅供企业用户使用
您可能还希望某些应用仅供企业用户使用。提前概述此类要求,以便您可以配置适当的部署规则或操作。
许可要求: 记录与应用相关的许可要求。这些记录有助于您有效管理许可证使用情况,并决定是否在 XenMobile 中配置特定功能以方便许可。例如,如果您部署免费或付费的 iOS 应用,Apple 会通过要求用户登录其 iTunes 帐户来强制执行应用的许可要求。您可以注册 Apple 批量采购,通过 XenMobile 分发和管理这些应用。批量采购允许用户下载应用,而无需登录其 iTunes 帐户。此外,Samsung SAFE 和 Samsung Knox 等工具具有特殊的许可要求,您需要在部署这些功能之前完成这些要求。
允许列表和阻止列表要求: 您可能希望阻止用户安装或使用某些应用。创建一个允许列表,列出导致设备不合规的应用。然后,设置策略以在设备不合规时触发。另一方面,某个应用可能可以使用,但由于某种原因可能属于阻止列表。在这种情况下,您可以将该应用添加到允许列表,并指出该应用可以使用,但不是必需的。此外,请记住,新设备上预安装的应用可能包含一些不属于操作系统的常用应用。这些应用可能与您的阻止列表策略冲突。
应用用例
一家医疗保健组织计划部署 XenMobile,作为其移动应用的 MAM 解决方案。移动应用将交付给企业用户和 BYOD 用户。IT 部门决定交付和管理以下应用:
- 移动生产力应用: Citrix 提供的 iOS 和 Android 应用。
- Secure Mail: 电子邮件、日历和联系人应用。
- Secure Web: 提供 Internet 和内网站点访问的安全 Web 浏览器。
- Citrix Files: 用于访问共享数据以及共享、同步和编辑文件的应用。
公共应用商店
- Secure Hub: 所有移动设备用于与 XenMobile 通信的客户端。IT 部门通过 Secure Hub 客户端将安全设置、配置和移动应用推送到移动设备。Android 和 iOS 设备通过 Secure Hub 注册到 XenMobile。
- Citrix Receiver™: 允许用户在移动设备上打开由 Virtual Apps and Desktops 托管的应用程序的移动应用。
- GoToMeeting: 一款在线会议、桌面共享和视频会议客户端,允许用户通过 Internet 与其他计算机用户、客户、客户端或同事实时会面。
- Salesforce1: Salesforce1 允许用户从移动设备访问 Salesforce,并将所有 Chatter、CRM、自定义应用和业务流程整合在一起,为任何 Salesforce 用户提供统一的体验。
- RSA SecurID: 用于双因素身份验证的基于软件的令牌。
-
EpicCare 应用: 这些应用为医疗保健从业者提供对患者图表、患者列表、日程和消息的安全便携式访问。
- Haiku: 适用于 iPhone 和 Android 手机的移动应用。
- Canto: 适用于 iPad 的移动应用。
- Rover: 适用于 iPhone 和 iPad 的移动应用。
HDX: 这些应用通过 Citrix Virtual Apps™ and Desktops 交付。
- Epic Hyperspace: 用于电子健康记录管理的 Epic 客户端应用程序。
ISV
- Vocera: 一款符合 HIPAA 标准的 IP 语音和消息移动应用,可随时随地通过 iPhone 和 Android 智能手机扩展 Vocera 语音技术的优势。
内部应用
- HCMail: 一款有助于编写加密消息、在内部邮件服务器上搜索地址簿以及使用电子邮件客户端将加密消息发送给联系人的应用。
内部 Web 应用
- PatientRounding: 用于记录不同部门患者健康信息的 Web 应用程序。
- Outlook Web Access: 允许通过 Web 浏览器访问电子邮件。
- SharePoint: 用于组织范围内的文件和数据共享。
下表列出了 MAM 配置所需的基本信息。
| 应用名称 | 应用类型 | MDX 封装 | iOS | Android |
| Secure Mail | XenMobile 应用 | 10.4.1 及更高版本不支持 | 是 | 是 |
| Secure Web | XenMobile 应用 | 10.4.1 及更高版本不支持 | 是 | 是 |
| Citrix Files | XenMobile 应用 | 10.4.1 及更高版本不支持 | 是 | 是 |
| Secure Hub | 公共应用 | 不适用 | 是 | 是 |
| Citrix Receiver | 公共应用 | 不适用 | 是 | 是 |
| GoToMeeting | 公共应用 | 不适用 | 是 | 是 |
| Salesforce1 | 公共应用 | 不适用 | 是 | 是 |
| RSA SecurID | 公共应用 | 不适用 | 是 | 是 |
| Epic Haiku | 公共应用 | 不适用 | 是 | 是 |
| Epic Canto | 公共应用 | 不适用 | 是 | 否 |
| Epic Rover | 公共应用 | 不适用 | 是 | 否 |
| Epic Hyperspace | HDX™ 应用 | 不适用 | 是 | 是 |
| Vocera | ISV 应用 | 是 | 是 | 是 |
| HCMail | 内部应用 | 是 | 是 | 是 |
| PatientRounding | Web 应用 | 不适用 | 是 | 是 |
| Outlook Web Access | Web 应用 | 不适用 | 是 | 是 |
| SharePoint | Web 应用 | 不适用 | 是 | 是 |
下表列出了在 XenMobile 中配置 MAM 策略时可以参考的特定要求。
| 应用名称 | 需要 VPN | 交互 | 交互 | 基于设备平台的加密 |
| (与容器外部的应用) | (来自容器外部的应用) | |||
|---|---|---|---|---|
| Secure Mail | 是 | 选择性允许 | 允许 | 不需要 |
| Secure Web | 是 | 允许 | 允许 | 不需要 |
| Citrix Files | 是 | 允许 | 允许 | 不需要 |
| Secure Hub | 是 | 不适用 | 不适用 | 不适用 |
| Citrix Receiver | 是 | 不适用 | 不适用 | 不适用 |
| GoToMeeting | 否 | 不适用 | 不适用 | 不适用 |
| Salesforce1 | 否 | 不适用 | 不适用 | 不适用 |
| RSA SecurID | 否 | 不适用 | 不适用 | 不适用 |
| Epic Haiku | 是 | 不适用 | 不适用 | 不适用 |
| Epic Canto | 是 | 不适用 | 不适用 | 不适用 |
| Epic Rover | 是 | 不适用 | 不适用 | 不适用 |
| Epic Hyperspace | 是 | 不适用 | 不适用 | 不适用 |
| Vocera | 是 | 已阻止 | 已阻止 | 不需要 |
| HCMail | 是 | 已阻止 | 已阻止 | 需要 |
| PatientRounding | 是 | 不适用 | 不适用 | 需要 |
| Outlook Web Access | 是 | 不适用 | 不适用 | 不需要 |
| SharePoint | 是 | 不适用 | 不适用 | 不需要 |
| 应用名称 | 代理筛选 | 许可 | 地理围栏 | Mobile Apps SDK | 最低操作系统版本 |
|---|---|---|---|---|---|
| Secure Mail | 需要 | 不适用 | 选择性需要 | 不适用 | 已强制执行 |
| Secure Web | 需要 | 不适用 | 不需要 | 不适用 | 已强制执行 |
| Citrix Files | 需要 | 不适用 | 不需要 | 不适用 | 已强制执行 |
| Secure Hub | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| Citrix Receiver | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| GoToMeeting | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| Salesforce1 | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| RSA SecurID | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| Epic Haiku | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| Epic Canto | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| Epic Rover | 不需要 | 批量采购 | 不需要 | 不适用 | 未强制执行 |
| Epic Hyperspace | 不需要 | 不适用 | 不需要 | 不适用 | 未强制执行 |
| Vocera | 需要 | 不适用 | 需要 | 需要 | 已强制执行 |
| HCMail | 需要 | 不适用 | 需要 | 需要 | 已强制执行 |
| PatientRound-ing | 需要 | 不适用 | 不需要 | 不适用 | 未强制执行 |
| Outlook Web Access | 需要 | 不适用 | 不需要 | 不适用 | 未强制执行 |
| SharePoint | 需要 | 不适用 | 不需要 | 不适用 | 未强制执行 |
用户社区
每个组织都由在不同职能角色中运作的多元化用户社区组成。这些用户社区使用您通过用户的移动设备提供的各种资源执行不同的任务和办公功能。用户可能在家中或远程办公室使用您提供的移动设备工作。或者,用户可能使用其个人移动设备,这允许他们访问受某些安全合规性规则约束的工具。
随着越来越多的用户社区使用移动设备,企业移动性管理 (EMM) 对于防止数据泄露和强制执行安全限制变得至关重要。为了实现高效且更复杂的移动设备管理,您可以对用户社区进行分类。这样做可以简化用户与资源的映射,并确保正确的安全策略适用于正确的用户。
以下示例说明了医疗保健组织的用户社区如何针对 EMM 进行分类。
用户社区用例
此示例医疗机构为多个用户(包括网络和附属员工以及志愿者)提供技术资源和访问权限。该机构已选择仅向非管理层用户推出 EMM 解决方案。
该机构的用户角色和职能可分为以下子组:临床、非临床和承包商。部分用户获得公司移动设备,而其他用户则可从其个人设备访问有限的公司资源。为实施适当级别的安全限制并防止数据泄露,该机构决定由公司 IT 管理每个已注册的设备,无论是公司发放的设备还是 BYOD 设备。此外,用户只能注册一台设备。
以下部分概述了每个子组的角色和职能:
临床
- 护士
- 医生(内科医生、外科医生等)
- 专科医生(营养师、麻醉师、放射科医生、心脏病专家、肿瘤科医生等)
- 外部医生(非雇员医生和在远程办公室工作的办公室职员)
- 家庭医疗服务(为患者上门就诊提供医生服务的办公室和移动工作人员)
- 研究专家(六个研究所的知识型员工和高级用户,从事临床研究以寻找医学问题的答案)
- 教育和培训(从事教育和培训的护士、医生和专科医生)
非临床
- 共享服务(从事各种后台职能的办公室职员,包括:人力资源、薪资、应付账款、供应链服务等)
- 医生服务(从事各种医疗保健管理、行政服务和业务流程解决方案的办公室职员,为提供商提供服务,包括:行政服务、分析和商业智能、业务系统、客户服务、财务、托管医疗管理、患者访问解决方案、收入周期解决方案等)
- 支持服务(从事各种非临床职能的办公室职员,包括:福利管理、临床集成、通信、薪酬和绩效管理、设施和物业服务、人力资源技术系统、信息服务、内部审计和流程改进等)
- 慈善计划(从事各种职能以支持慈善计划的办公室和移动工作人员)
承包商
- 制造商和供应商合作伙伴(通过站点到站点 VPN 在现场和远程连接,提供各种非临床支持职能)
根据上述信息,该机构创建了以下实体。有关 XenMobile 中交付组的更多信息,请参阅部署资源。
Active Directory 组织单位 (OU) 和组
对于 OU = XenMobile Resources:
- OU = 临床;组 =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = 非临床;组 =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
XenMobile 本地用户和组
对于组 = 承包商,用户 =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
XenMobile 交付组
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
交付组和用户组映射
| Active Directory 组 | XenMobile 交付组 |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
交付组和资源映射
以下表格说明了在此用例中分配给每个交付组的资源。第一个表格显示了移动应用程序分配。第二个表格显示了公共应用程序、HDX 应用程序和设备管理资源。
| XenMobile 交付组 | Citrix 移动应用程序 | 公共移动应用程序 | HDX 移动应用程序 |
| Clinical-Nurses | X | ||
| Clinical-Physicians | |||
| Clinical-Specialists | |||
| Clinical-Outside Physicians | X | ||
| Clinical-Home Health Services | X | ||
| Clinical-Research Specialist | X | ||
| Clinical-Education and Training | X | X | |
| Non-Clinical-Shared Services | X | X | |
| Non-Clinical-Physician Services | X | X | |
| Non-Clinical-Support Services | X | X | X |
| Non-Clinical-Philanthropic Programs | X | X | X |
| Contractors | X | X | X |
| XenMobile 交付组 | 公共应用程序:RSA SecurID | 公共应用程序:EpicCare Haiku | HDX 应用程序:Epic Hyperspace | 密码策略 | 设备限制 | 自动化操作 | WiFi 策略 |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
注意事项
- XenMobile 在初始配置期间会创建一个名为 All Users 的默认交付组。如果您不禁用此交付组,则所有 Active Directory 用户都有权注册到 XenMobile。
- XenMobile 使用与 LDAP 服务器的动态连接按需同步 Active Directory 用户和组。
- 如果用户属于未在 XenMobile 中映射的组,则该用户无法注册。同样,如果用户是多个组的成员,XenMobile 仅将用户归类为映射到 XenMobile 的组中的成员。
- 要使 MDM 注册成为强制性,您必须在 XenMobile 控制台的“服务器属性”中将“注册要求”选项设置为 True。有关详细信息,请参阅服务器属性。
- 您可以通过删除 SQL Server 数据库中 dbo.userlistgrps 下的条目,从 XenMobile 交付组中删除用户组。 注意:执行此操作之前,请备份 XenMobile 和数据库。
关于 XenMobile 中的设备所有权
您可以根据用户设备的拥有者对用户进行分组。设备所有权包括公司拥有的设备和用户拥有的设备,也称为自带设备 (BYOD)。您可以在 XenMobile 控制台中的两个位置控制 BYOD 设备如何连接到您的网络:在每种资源类型的部署规则中以及通过“设置”页面上的服务器属性。有关部署规则的详细信息,请参阅 XenMobile 文档中的配置部署规则。有关服务器属性的详细信息,请参阅服务器属性。
您可以要求所有 BYOD 用户接受对其设备的公司管理,然后才能访问应用程序。或者,您可以允许用户访问公司应用程序,而无需管理其设备。
当您将服务器设置 wsapi.mdm.required.flag 设置为 true 时,XenMobile 会管理所有 BYOD 设备,并且任何拒绝注册的用户都将被拒绝访问应用程序。建议在企业 IT 团队需要高安全性以及在 XenMobile 中注册用户设备时提供良好用户体验的环境中,将 wsapi.mdm.required.flag 设置为 true。
如果您将 wsapi.mdm.required.flag 保留为 false(这是默认设置),用户可以拒绝注册,但仍可以通过 XenMobile Store 访问其设备上的应用程序。建议在隐私、法律或法规限制要求不进行设备管理,而仅进行企业应用程序管理的环境中,将 wsapi.mdm.required.flag 设置为 false。
XenMobile 不管理的设备用户可以通过 XenMobile Store 安装应用程序。您可以通过应用程序策略控制对应用程序的访问,而不是通过设备级控制(例如选择性擦除或完全擦除)。这些策略(取决于您设置的值)要求设备定期检查 XenMobile Server,以确认应用程序仍被允许运行。
安全要求
部署 XenMobile 环境时,安全注意事项的数量可能很快变得令人望而生畏。其中有许多相互关联的组件和设置。为帮助您入门并选择可接受的保护级别,Citrix 提供了针对高安全性、更高安全性和最高安全性的建议,如下表所示。
您的部署模式选择不仅仅涉及安全问题。同样重要的是,在选择部署模式之前,还要审查用例要求并确定是否可以缓解安全问题。
高: 使用这些设置可提供最佳用户体验,同时保持大多数组织可接受的基本安全级别。
更高: 这些设置在安全性和可用性之间实现了更强的平衡。
最高: 遵循这些建议可提供高安全级别,但会牺牲可用性和用户采用率。
部署模式安全注意事项
下表指定了针对每个安全级别的部署模式。
| 高安全性 | 更高安全性 | 最高安全性 |
| MAM 或 MDM | MDM+MAM | MDM+MAM;以及 FIPS |
备注:
- 根据用例,仅 MDM 或仅 MAM 部署可以满足安全要求并提供良好的用户体验。
- 如果您不需要应用程序容器化、微 VPN 或应用程序特定策略,MDM 足以管理和保护设备。
- 对于 BYOD 等用例,如果仅应用程序容器化即可满足所有业务和安全要求,Citrix 建议使用仅 MAM 模式。
- 对于高安全性环境(以及公司发放的设备),Citrix 建议使用 MDM+MAM 以利用所有可用的安全功能。请务必强制执行 MDM 注册。
- 适用于具有最高安全需求的环境(例如联邦政府)的 FIPS 选项。
如果启用 FIPS 模式,则必须将 SQL Server 配置为加密 SQL 流量。
Citrix ADC 和 Citrix Gateway 安全注意事项
下表指定了针对每个安全级别的 Citrix ADC 和 Citrix Gateway 建议。
| 高安全性 | 更高安全性 | 最高安全性 |
| 建议使用 Citrix ADC。MAM 和 ENT 需要 Citrix Gateway;MDM 建议使用 Citrix Gateway。 | 如果 XenMobile 位于 DMZ 中,则使用带 SSL 桥接的 XenMobile 向导配置的标准 Citrix ADC。如果 XenMobile Server 位于内部网络中,则在必要时使用 SSL 卸载以满足安全标准。 | 采用端到端加密的 SSL 卸载 |
备注:
- 通过 NAT 或现有第三方代理和负载平衡器将 XenMobile Server 暴露给 Internet 可能是 MDM 的一个选项。但是,该设置要求 SSL 流量在 XenMobile Server 上终止,这会带来潜在的安全风险。
- 对于高安全性环境,采用默认 XenMobile 配置的 Citrix ADC 通常可以满足或超出安全要求。
- 对于具有最高安全需求的 MDM 环境,在 Citrix ADC 上终止 SSL 可在外围启用流量检查并保持端到端 SSL 加密。
- 定义 SSL/TLS 密码的选项。
- 还提供 SSL FIPS Citrix ADC 硬件。
- 有关详细信息,请参阅与 Citrix Gateway 和 Citrix ADC 集成。
注册安全注意事项
下表指定了针对每个安全级别的 Citrix ADC 和 Citrix Gateway 建议。
| 高安全性 | 更高安全性 | 最高安全性 |
| 仅限 Active Directory 组成员身份。所有用户交付组已禁用。 | 仅限邀请的注册安全模式。仅限 Active Directory 组成员身份。所有用户交付组已禁用。 | 注册安全模式与设备 ID 绑定。仅限 Active Directory 组成员身份。所有用户交付组已禁用。 |
备注:
- Citrix 通常建议您将注册限制为仅限于预定义 Active Directory 组中的用户。该设置需要禁用内置的“所有用户”交付组。
- 您可以使用注册邀请将注册限制为仅限于收到邀请的用户。注册邀请不适用于 Windows 设备。
- 您可以使用一次性 PIN (OTP) 注册邀请作为双因素身份验证解决方案,并控制用户可以注册的设备数量。OTP 邀请不适用于 Windows 设备。
设备密码安全注意事项
下表指定了针对每个安全级别的设备密码建议。
| 高安全性 | 更高安全性 | 最高安全性 |
| 建议使用。设备级加密需要高安全性。通过使用 MDM 强制执行。您可以使用 MDX 策略“不合规设备行为”将高安全性设置为仅 MAM 所需。 | 通过使用 MDM、MDX 策略或两者强制执行。 | 通过使用 MDM 和 MDX 策略强制执行。MDM 复杂密码策略。 |
备注:
- Citrix 建议使用设备密码。
- 您可以通过 MDM 策略强制执行设备密码。
- 您可以使用 MDX 策略将设备密码设置为使用托管应用程序的要求。例如,对于 BYOD 用例。
- Citrix 建议结合使用 MDM 和 MDX 策略选项,以提高 MDM+MAM 环境中的安全性。
- 对于具有最高安全要求的环境,您可以配置复杂的密码策略并通过 MDM 强制执行。您可以配置自动操作,以便在设备不符合密码策略时通知管理员或执行选择性/完全设备擦除。