应用
企业移动管理分为移动设备管理(MDM)和移动应用管理(MAM)。MDM使企业能够对移动设备进行安全和控制,而MAM则有助于应用程序交付和管理。随着BYOD越来越多地被采用,通常可以实现MAM解决方案,如端点管理。端点管理协助应用程序交付、软件许可、配置和应用程序生命周期管理。您可以要求或允许用户选择MDM管理。
通过端点管理,您可以通过配置MAM策略和VPN设置来保护应用程序,以防止数据泄露和其他安全威胁。端点管理为组织提供了将设备注册为仅MAM或MDM+MAM的灵活性。
除了能够向移动设备交付应用程序外,Endpoint Management还通过MDX技术提供应用程序容器化。这些应用受到基于细粒度策略的控制。独立软件供应商(ISV)可以使用移动应用程序SDK应用这些控件。
在公司环境中,用户使用各种移动应用程序来帮助其工作角色。该应用程序可以包含来自公共应用商店的应用程序,内部开发的应用程序或本机应用程序。端点管理将这些应用程序分类如下:
公共应用程序:这些应用包括在公共应用商店(如苹果应用商店或谷歌Play)中可用的免费或付费应用。组织之外的供应商通常会在公共应用商店中提供他们的应用。这个选项可以让他们的客户直接从互联网下载应用程序。您可以根据用户的需求在组织中使用大量公共应用程序。这类应用的例子包括GoToMeeting、Salesforce和EpicCare应用。
如果您使用MAM SDK:从应用程序供应商获取应用程序二进制文件。然后,将MAM SDK集成到应用程序中。
如果使用MDX服务或工具包:Citrix不支持直接从公共应用程序商店下载应用程序二进制文件,然后将它们与MDX Toolkit包装在企业发行版中。要包装第三方应用程序,请与应用程序供应商合作获取应用程序二进制文件。然后,您可以使用MDX Toolkit包装二进制文件。
内部应用程序:许多组织都有内部开发人员,他们创建提供特定功能的应用程序,并在组织内独立开发和分发。在某些情况下,一些组织可能也有ISV提供的应用程序。您可以将此类应用部署为本机应用,也可以使用MAM解决方案(如端点管理)将这些应用容器化。
例如,医疗保健组织可能会创建一个内部应用程序,允许医生在移动设备上查看患者信息。然后,组织可以使用以下其中一种方法来保护患者信息,并启用VPN访问患者数据库:
- MAM SDK
- MDX服务或MDX Toolkit
- Web和SaaS应用程序:这些应用程序包括从内部网络(Web Apps)或公共网络(SaaS)访问的应用程序。端点管理还允许您使用App Connectors列表创建自定义Web和SaaS应用程序。这些应用连接器可以促进单点登录(SSO)到现有的Web应用程序。有关详细信息,请参阅应用程序连接器类型.例如,您可以根据安全断言标记语言(SAML)对Google Apps使用Google Apps Saml。
- 移动生产力应用程序:移动生产力应用程序是citrix开发的应用程序,包含在端点管理许可中。有关详细信息,请参阅关于移动生产力应用程序. Citrix还提供其他服务便利的应用ISV使用移动应用程序SDK开发。
- HDX应用程序:HDX应用程序是通过StoreFront发布的windows托管应用程序。如果你使用的是Citrix Virtual Apps和desktop以及Citrix Workspace,注册用户可以使用HDX应用。
根据您计划使用Endpoint Management部署和管理的移动应用程序的类型,底层配置可能会有所不同。例如,多个用户组具有不同级别的权限可能使用一个应用程序。在这种情况下,你可以创建单独的交付组部署两个不同版本的相同的应用程序。此外,你必须确保用户组成员是互斥的,以避免政策在用户的设备上不匹配。
您还可以通过使用Apple卷购买来管理IOS应用许可。此选项要求您注册卷采购程序,并在端点管理控制台中配置卷采购设置。该配置允许您使用卷采购许可证分发应用程序。在实施端点管理环境之前,各种用例使得评估和计划您的MAM策略很重要。您可以通过定义以下内容开始规划MAM策略:
- 应用程序类型:列出您计划支持的不同类型的应用程序,并对它们进行分类,例如公共应用程序、本地应用程序、Web应用程序、内部应用程序或ISV应用程序。同时,根据不同的设备平台(如iOS和Android)对应用进行分类。这种分类有助于调整每种类型应用程序所需的各种端点管理设置。例如,一些应用程序可能需要使用Mobile apps SDK来启用与其他应用程序交互的特殊api。
- 网络要求:配置具有特定网络访问要求的应用程序的设置。例如,某些应用可能需要通过VPN访问内部网络。有些应用可能需要互联网访问通过DMZ路由访问。要允许此类应用程序连接到所需的网络,必须相应地配置各种设置。定义每个应用网络需求有助于最早完成您的架构决策,简化整体实施过程。
安全要求:您可以定义应用于单个应用程序或所有应用程序的安全需求。
- 设置,如MDX策略,适用于单独的应用程序
- 会话和身份验证设置适用于所有应用程序
- 某些应用可能有特定的容器化、MDX、身份验证、地理围栏、密码或数据共享要求
提前概述这些需求,以简化部署。关于端点管理中的安全性的详细信息,请参见安全和用户体验.
- 部署要求:您可能希望使用基于策略的部署,只允许符合要求的用户下载已发布的应用程序。例如,某些应用程序可能需要管理设备或设备满足最低操作系统版本。您可能还希望某些应用程序仅对公司用户可用。提前概述这些需求,以便您可以配置适当的部署规则或操作。
许可要求:保存与应用程序相关的许可要求的记录。您的笔记可以帮助您有效地管理许可证使用情况,并决定是否在Endpoint Management中配置特定功能以促进许可证使用。例如,如果你部署了一款免费或付费的iOS应用,苹果会对该应用实施授权要求。因此,用户必须登录他们的苹果应用商店账户。
然而,你可以注册苹果批量购买,通过使用端点管理分发和管理这些应用程序。批量购买允许用户无需登录苹果应用商店账户就可以下载应用。
一些平台,如Samsung SAFE和Samsung Knox,在部署这些功能之前有特殊的许可要求。
- 允许列表和阻止列表要求:您可能会识别出您不想让用户安装或使用的应用程序。创建块列表定义了一个不符合事件。然后,您可以设置在事件发生时触发的策略。另一方面,应用程序可能是可以使用的,但由于某些原因可能会被列入禁止列表。在这种情况下,您可以将应用程序添加到允许列表中,并指出该应用程序是可接受的,但不是必需的。此外,请记住,预装在新设备上的应用程序可能包括一些不属于操作系统的常用应用程序。这类应用程序可能与你的屏蔽列表策略相冲突。
用例
某医疗保健组织计划部署端点管理,作为其移动应用程序的MAM解决方案。移动应用程序提供给企业和BYOD用户。IT决定交付和管理以下应用程序:
移动生产力应用程序:Citrix提供的iOS和Android应用程序。有关详细信息,请参阅移动生产力应用程序.
Citrix Secure Hub:对于在Endpoint Management 10.18.14之前登船的客户:您可以使用Secure Hub将安全设置、配置和移动应用推送到移动设备上。Android和iOS设备通过安全中心注册端点管理。
对于端点管理的新客户10.18.14:安全集线器支持Workspace Apps Store的使用。打开安全集线器时,用户不再看到安全的集线器商店。现在,Add Apps按钮将用户带到Workspace Apps Store。
以下视频显示了一台iOS设备使用Citrix Workspace应用程序注册到Citrix Endpoint Management。
.
Citrix Workspace应用程序:Citrix Workspace应用程序集成了现有的Citrix接收器技术、安全集线器和其他Citrix Workspace客户端技术。Workspace应用程序为最终用户提供统一的上下文体验。
去会议:在线会议、桌面共享和视频会议客户端,让用户通过Internet实时地与其他计算机用户、客户、客户端或同事见面。
Salesforce1:Salesforce1允许用户从移动设备访问Salesforce,并将所有Chatter,CRM,自定义应用程序和业务流程带到任何Salesforce用户的统一体验中。
RSA SecurID:基于软件的令牌进行双因素身份验证。
EPICCARE应用程序:这些应用程序为医疗保健从业者提供安全和便携式访问患者图表,患者列表,计划和消息传递。
Haiku:iPhone和Android手机的移动应用程序。
坎托:iPad的移动应用程序
流动站:iPhone和iPad的移动应用程序。
HDX:这些应用程序通过Citrix Workspace中的Citrix虚拟应用程序交付。
- 史诗般的超空间:用于电子健康记录管理的Epic客户端应用程序。
ISV:
- Vocera:HIPAA兼容的语音IP和消息移动应用程序,扩展了Vocera语音技术的好处,随时随地通过iPhone和Android智能手机。
内部应用程序:
- HCMail:这款应用程序帮助编写加密消息,在内部邮件服务器上搜索地址簿,并使用电子邮件客户端将加密消息发送给联系人。
内部web应用程序:
- 令人不安的是:Web应用程序用于通过不同部门记录患者健康信息。
- Outlook Web Access:允许通过网络浏览器访问电子邮件。
- SharePoint:用于组织范围内的文件和数据共享。
配置MAM所需的基本信息如下表所示。
| 应用程序名称 | 应用类型 | MDX-enabled | 网间网操作系统 | 安卓 |
|---|---|---|---|---|
| 安全邮件 | 移动生产力应用程序 | 不 | 是的 | 是的 |
| 安全的网络 | 移动生产力应用程序 | 不 | 是的 | 是的 |
| Citrix文件 | 移动生产力应用程序 | 不 | 是的 | 是的 |
| 安全集线器 | 公共应用程序 | N/A | 是的 | 是的 |
| Citrix Workspace应用程序 | 公共应用程序 | N/A | 是的 | 是的 |
| GoToMeeting | 公共应用程序 | N/A | 是的 | 是的 |
| SalesForce1 | 公共应用程序 | N/A | 是的 | 是的 |
| RSA SecurID | 公共应用程序 | N/A | 是的 | 是的 |
| Epic Hauku. | 公共应用程序 | N/A | 是的 | 是的 |
| epic canto. | 公共应用程序 | N/A | 是的 | 不 |
| 史诗漫游者 | 公共应用程序 | N/A | 是的 | 不 |
| 史诗超空间 | HDX应用 | N/A | 是的 | 是的 |
| Vocera | ISV应用程序 | 是的 | 是的 | 是的 |
| Hcmail. | 内部应用程序 | 是的 | 是的 | 是的 |
| 耐心地 | Web应用程序 | N/A | 是的 | 是的 |
| Outlook Web Access. | Web应用程序 | N/A | 是的 | 是的 |
| SharePoint. | Web应用程序 | N/A | 是的 | 是的 |
下表列出了在端点管理中配置MAM策略时可以参考的特定需求。
| 应用程序名称 | 需要VPN | 互动(容器外的应用程序) | 交互(来自容器外的应用程序) | 代理过滤 | 许可 | 地理防御 | 移动应用程序SDK. | 最小操作系统版本 |
|---|---|---|---|---|---|---|---|---|
| 安全邮件 | Y | 选择性地允许 | 允许 | 必需的 | N/A | 有选择地要求 | N/A | 强迫 |
| 安全的网络 | Y | 允许 | 允许 | 必需的 | N/A | 不需要 | N/A | 强迫 |
| Citrix文件 | Y | 允许 | 允许 | 必需的 | N/A | 不需要 | N/A | 强迫 |
| 安全集线器 | Y | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| Citrix Workspace应用程序 | Y | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| GoToMeeting | N | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| SalesForce1 | N | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| RSA SecurID | N | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| Epic Hauku. | Y | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| epic canto. | Y | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| 史诗漫游者 | Y | N/A | N/A | 不需要 | 批量购买 | 不需要 | N/A | 没有强迫 |
| 史诗超空间 | Y | N/A | N/A | 不需要 | N/A | 不需要 | N/A | 没有强迫 |
| Vocera | Y | 此 路 不通 | 此 路 不通 | 必需的 | N/A | 必需的 | 必需的 | 强迫 |
| Hcmail. | Y | 此 路 不通 | 此 路 不通 | 必需的 | N/A | 必需的 | 必需的 | 强迫 |
| 耐心等待 | Y | N/A | N/A | 必需的 | N/A | 不需要 | N/A | 没有强迫 |
| Outlook Web Access. | Y | N/A | N/A | 必需的 | N/A | 不需要 | N/A | 没有强迫 |
| SharePoint. | Y | N/A | N/A | 必需的 | N/A | 不需要 | N/A | 没有强迫 |