安全和用户体验
安全性对任何组织都很重要,但是您需要在安全性和用户体验之间取得平衡。例如,您可能有一个高度安全的环境,用户很难使用。或者,您的环境可能非常友好,访问控制不那么严格。本虚拟手册的其他部分详细介绍了安全特性。本文的目的是对端点管理中常见的安全问题和可用的安全选项进行总体概述。
以下是每个用例需要记住的一些关键考虑因素:
- 你想保护某些应用程序,还是整个设备,或者两者都要?
- 您希望用户如何验证其身份?您想使用LDAP、基于证书的身份验证,还是两者结合使用?
- 您希望用户的会话在超时前持续多长时间?请记住,对于后台服务、Citrix ADC和离线访问应用程序有不同的超时值。
- 你希望用户设置一个设备级密码和一个应用程序级密码吗?您希望允许多少次登录尝试?请记住MAM可能实现的每个应用程序的额外身份验证要求,以及用户可能如何感知它们。
- 您还想对用户施加哪些其他限制?你想让用户使用Siri这样的云服务吗?他们能用你提供给他们的每个应用做什么,不能做什么?是否需要部署企业网络(Wi-Fi)策略,以防止在办公室内部使用蜂窝数据计划?
应用程序和设备
首先要考虑的事情之一是你是否想要确保:
- 仅适用于某些应用程序(移动应用程序管理或MAM)
- 整个设备(移动设备管理,或MDM)。
- MDM +老妈
通常情况下,如果你不需要设备级别的控制,你只需要管理移动应用程序,特别是如果你的组织支持自带设备(BYOD)。
终端管理无法管理设备的用户可以通过应用商店安装应用程序。而不是设备级的控制,如选择或完全擦除,你可以通过应用程序策略控制对应用程序的访问。根据您设置的值,这些策略要求设备定期检查端点管理,以确认应用程序仍然允许运行。
MDM允许保护整个设备,包括查看设备上所有软件的清单。通过MDM功能,可以防止已越狱、已root或安装了不安全软件的设备注册。然而,采取这种程度的控制,会让用户对自己的个人设备拥有如此大的权力心存疑虑,并可能降低入学率。
身份验证
身份验证是发生大量用户体验的地方。如果您的组织已经在运行Active Directory,那么使用Active Directory是让您的用户访问系统的最简单的方法。
身份验证用户体验的另一个重要部分是超时。高安全性的环境可能要求用户每次访问系统时都要登录。该选项可能不是所有组织或用例的理想选择。
用户熵
为了增加安全性,您可以启用一个称为用户熵.Citrix Secure Hub和其他一些应用程序经常共享密码、pin和证书等公共数据,以确保一切正常运行。此信息存储在安全Hub中的通用保险库中。如果您通过加密机密选项,端点管理创建一个名为UserEntropy的保险库。端点管理将信息从通用保险库移动到这个新保险库。对于Secure Hub或其他应用程序访问数据,用户必须输入密码或PIN。
启用用户熵在多个地方增加了另一层身份验证。因此,当应用程序需要访问user熵库中的共享数据(包括密码、pin和证书)时,用户必须进行身份验证。
您可以通过阅读了解更多关于用户熵的信息关于MDX Toolkit.要打开用户熵,您可以在客户属性.
政策
MDX和MDM策略都为组织提供了很大的灵活性,但它们也会限制用户。在某些情况下,您可能需要这种限制,但是策略也可能使系统不可用。例如,您可能希望阻止对Siri或iCloud等云应用程序的访问,这些应用程序有可能将敏感数据发送到外部位置。您可以设置策略来阻止对这些服务的访问,但请记住,这样的策略可能会产生意想不到的后果。例如,iOS键盘麦克风依赖于云访问。
应用程序
EMM (Enterprise Mobility Management)分为MDM (Mobile Device Management)和MAM (Mobile Application Management)。MDM使企业能够保护和控制移动设备,而MAM则促进了应用程序的交付和管理。随着BYOD的越来越多的采用,你可以实现一个典型的MAM解决方案,如端点管理,以协助以下:
- 应用程序交付
- 软件许可
- 配置
- 应用生命周期管理
通过端点管理,您可以通过配置特定的MAM策略和VPN设置来增加这些应用程序的安全性,以防止数据泄露和其他安全威胁。端点管理为组织提供了在同一环境中同时包含MDM和MAM功能的灵活性。
除了向移动设备交付应用程序的能力,端点管理通过MDX技术提供应用程序容器化。MDX通过与平台提供的设备级加密分离的加密来保护应用程序。你可以擦除或锁定应用程序。应用程序受基于策略的细粒度控制。独立软件供应商(isv)可以使用移动应用SDK应用这些控件。
在企业环境中,用户使用各种移动应用程序来帮助他们的工作。这些应用包括来自公共应用商店的应用、内部开发的应用或原生应用。Endpoint Management对这些应用程序的分类如下:
公共应用程序:这些应用程序包括公共应用程序商店中的免费或付费应用程序,如苹果应用程序商店或谷歌Play。组织外的供应商经常在公共应用商店中提供他们的应用。这个选项允许他们的客户直接从互联网下载应用程序。根据用户的需要,您可以在组织中使用大量的公共应用程序。这类应用包括GoToMeeting、Salesforce和EpicCare应用。
Citrix不支持直接从公共应用商店下载应用程序二进制文件,然后将它们包装在MDX工具包中用于企业发行。对于支持mdx的第三方应用程序,请联系应用程序供应商获取应用程序的二进制文件。您可以使用MDX工具包包装二进制文件,或者将MAM SDK与二进制文件集成。
内部应用程序:许多组织都有内部开发人员,他们创建提供特定功能的应用程序,并在组织内独立开发和分发。在某些情况下,一些组织可能也有isv提供的应用程序。您可以将这些应用程序作为本机应用程序部署,也可以通过使用MAM解决方案(如端点管理)将这些应用程序容器化。例如,医疗保健组织可以创建一个内部应用程序,允许医生在移动设备上查看患者信息。然后,组织可以使用MAM SDK启用或mdm封装应用程序,以保护患者信息,并启用对后端患者数据库服务器的VPN访问。
Web和SaaS应用:这些应用包括通过内网(web apps)或通过公网(SaaS)访问的应用。端点管理还允许您使用应用连接器列表创建自定义web和SaaS应用程序。这些应用程序连接器可以促进对现有Web应用程序的单点登录(SSO)。有关详细信息,请参见应用连接器类型.例如,可以使用谷歌Apps SAML对谷歌Apps进行基于SAML的单点登录。
移动生产力应用程序:移动生产力应用程序是citrix开发的应用程序,包含在端点管理许可证中。有关详细信息,请参见关于移动生产力应用程序.思杰还提供其他服务便利的应用.isv使用Mobile apps SDK开发业务应用。
HDX应用:HDX应用程序是你通过StoreFront发布的windows托管应用程序。如果您有Citrix虚拟应用程序和桌面环境,您可以将应用程序与端点管理集成,使应用程序对注册用户可用。
根据您计划使用端点管理部署和管理的移动应用程序的类型,底层配置和体系结构是不同的。假设多个不同权限级别的用户使用同一个应用,可以创建单独的交付组来部署两个版本的应用。请确保用户组的成员关系是互斥的,以避免用户设备上的策略不匹配。
您可能还想通过使用苹果批量购买来管理iOS应用程序许可。此选项要求您注册苹果批量购买程序。而且,您必须使用Endpoint Management控制台来配置批量购买设置。该配置允许您使用批量购买许可证分发应用程序。各种这样的用例使得在实现端点管理环境之前评估和计划您的MAM策略变得非常重要。你可以开始计划你的MAM策略通过定义以下:
类型的应用程序:列出你计划支持的不同类型的应用。然后,对应用程序进行分类,如公共、本地、Citrix移动生产力应用程序、Web、内部和ISV应用程序。此外,要对不同设备平台(如iOS和Android)的应用程序进行分类。这种分类帮助您对齐每种应用程序类型所需的端点管理设置。例如:某些应用程序可能不符合包装条件。或者,一些应用程序可能需要使用移动应用程序SDK来启用与其他应用程序交互的特殊api。
网络需求:使用适当的设置配置具有特定网络访问要求的应用程序。例如,某些应用程序可能需要通过VPN访问您的内部网络。一些应用程序可能需要Internet访问来通过DMZ进行路由访问。为了让这些应用程序连接到所需的网络,您必须相应地配置各种设置。定义每个应用程序的网络需求,以帮助提前完成架构决策。这项工作简化了整个实施过程。
安全需求:定义适用于单个应用程序或所有应用程序的安全需求。一些设置(如MDX策略)适用于单个应用程序。会话和身份验证设置适用于所有应用程序。一些应用程序可能有特定的加密、容器化、包装、身份验证、地理围栏、密码或数据共享要求。提前概述这些需求,以简化部署。
部署要求:您可能希望使用基于策略的部署,只允许符合要求的用户下载发布的应用程序。例如,你可能希望某些应用要求:
- 启用设备平台加密功能
- 设备被管理
- 设备满足最小操作系统版本
- 某些应用程序只对企业用户开放
提前概述这些需求,以便您可以配置适当的部署规则或操作。
许可要求:记录应用程序相关的许可要求。这样的说明可以帮助您有效地管理许可证使用,并决定是否需要配置端点管理中的特定特性以促进许可。例如,如果你部署了一款免费或付费的iOS应用程序,苹果会通过让用户登录他们的苹果商店账户来强制应用程序的授权要求。您可以注册苹果批量购买,通过端点管理分发和管理这些应用程序。批量购买允许用户无需登录苹果商店账户就可以下载应用程序。此外,Samsung SAFE和Samsung Knox等工具有特殊的许可要求,您需要在部署这些功能之前完成这些要求。
允许列表和阻止列表要求:您可能希望阻止用户安装或使用某些应用程序。创建一个允许列表的应用程序,使一个设备不合规。然后,设置策略,当设备变得不合规时触发。另一方面,一个应用程序可能可以被使用,但可能会因为某些原因被列入黑名单。在这种情况下,您可以将该应用程序添加到允许列表,并表明该应用程序可以使用,但不是必需的。此外,请记住,预装在新设备上的应用程序可能包括一些不属于操作系统的常用应用程序。这些应用程序可能与你的黑名单策略相冲突。
应用程序用例
某医疗保健组织计划部署端点管理,作为其移动应用程序的MAM解决方案。移动应用程序被交付给企业和自带设备的用户。IT决定交付和管理以下应用程序:
- 移动生产力应用程序:Citrix提供的iOS和Android应用程序。
- Citrix文件:应用程序访问共享数据和共享,同步和编辑文件。
公共应用程序商店
- 安全中心:所有移动设备用于与Endpoint Management通信的客户机。IT部门通过Secure Hub客户端向移动设备推送安全设置、配置和移动应用。Android和iOS设备通过安全中心注册端点管理。
- Citrix工作区应用:移动应用程序,允许用户在移动设备上打开Citrix虚拟应用程序托管的应用程序。
- 进行交流:在线会议、桌面共享和视频会议客户端,用户可以通过互联网与其他计算机用户、客户、客户端或同事实时会面。
- SalesForce1:Salesforce1允许用户从移动设备访问Salesforce,并将所有Chatter, CRM,自定义应用程序和业务流程一起在一个统一的体验为任何Salesforce用户。
- RSA SecurID:基于软件的双因素身份验证令牌。
- EpicCare应用:这些应用程序使医疗保健从业人员能够安全、便携地访问患者图表、患者列表、日程安排和消息。
- 俳句:iPhone和安卓手机的移动应用程序。
- 章:iPad手机应用程序
- 探测器:iPhone和iPad的移动应用程序。
HDX:Citrix虚拟应用程序提供HDX应用程序到Citrix工作区。
- 史诗多维空间:用于电子健康记录管理的Epic客户端应用程序。
ISV
- Vocera:兼容HIPAA的语音IP和通讯移动应用程序,通过iPhone和Android智能手机随时随地扩展Vocera语音技术的好处。
内部应用程序
- HCMail:帮助编写加密消息的应用程序,搜索内部邮件服务器上的地址簿,并使用电子邮件客户端将加密消息发送给联系人。
内部web应用程序
- PatientRounding:用于记录不同部门的患者健康信息的Web应用程序。
- Outlook Web Access:允许通过网络浏览器访问电子邮件。
- SharePoint:用于组织范围内的文件和数据共享。
配置MAM时需要了解的基本信息如下表所示。
| 应用程序名称 | 应用程序类型 | MDX包装 | iOS | 安卓 |
|---|---|---|---|---|
| 安全邮件 | 移动生产力应用程序 | 10.4.1及更高版本不支持 | 是的 | 是的 |
| 安全的网络 | 移动生产力应用程序 | 10.4.1及更高版本不支持 | 是的 | 是的 |
| Citrix文件 | 移动生产力应用程序 | 10.4.1及更高版本不支持 | 是的 | 是的 |
| 安全中心 | 公共应用程序 | NA | 是的 | 是的 |
| Citrix工作区应用 | 公共应用程序 | NA | 是的 | 是的 |
| 进行交流 | 公共应用程序 | NA | 是的 | 是的 |
| SalesForce1 | 公共应用程序 | NA | 是的 | 是的 |
| RSA SecurID | 公共应用程序 | NA | 是的 | 是的 |
| 史诗俳句 | 公共应用程序 | NA | 是的 | 是的 |
| 史诗篇 | 公共应用程序 | NA | 是的 | 没有 |
| 史诗探测器 | 公共应用程序 | NA | 是的 | 没有 |
| 史诗多维空间 | HDX应用 | NA | 是的 | 是的 |
| Vocera | ISV应用程序 | 是的 | 是的 | 是的 |
| HCMail | 内部应用程序 | 是的 | 是的 | 是的 |
| PatientRounding | Web应用程序 | NA | 是的 | 是的 |
| Outlook Web Access | Web应用程序 | NA | 是的 | 是的 |
| SharePoint | Web应用程序 | NA | 是的 | 是的 |
下表列出了在端点管理中配置MAM策略时可以参考的具体要求。
| 应用程序名称 | VPN要求 | 交互(与容器外的应用程序) | 交互(来自容器外的应用程序) | 基于平台的加密设备 |
|---|---|---|---|---|
| 安全邮件 | Y | 选择性地允许 | 允许 | 不是必需的 |
| 安全的网络 | Y | 允许 | 允许 | 不是必需的 |
| Citrix文件 | Y | 允许 | 允许 | 不是必需的 |
| 安全中心 | Y | N/A | N/A | N/A |
| Citrix工作区应用 | Y | N/A | N/A | N/A |
| 进行交流 | N | N/A | N/A | N/A |
| SalesForce1 | N | N/A | N/A | N/A |
| RSA SecurID | N | N/A | N/A | N/A |
| 史诗俳句 | Y | N/A | N/A | N/A |
| 史诗篇 | Y | N/A | N/A | N/A |
| 史诗探测器 | Y | N/A | N/A | N/A |
| 史诗多维空间 | Y | N/A | N/A | N/A |
| Vocera | Y | 阻塞 | 阻塞 | 不是必需的 |
| HCMail | Y | 阻塞 | 阻塞 | 要求 |
| PatientRounding | Y | N/A | N/A | 要求 |
| Outlook Web Access | Y | N/A | N/A | 不是必需的 |
| SharePoint | Y | N/A | N/A | 不是必需的 |
| 应用程序名称 | 代理过滤 | 许可 | 地理围墙 | 移动应用SDK | 最低操作系统版本 |
|---|---|---|---|---|---|
| 安全邮件 | 要求 | N/A | 选择性的要求 | N/A | 执行 |
| 安全的网络 | 要求 | N/A | 不是必需的 | N/A | 执行 |
| 安全的笔记 | 要求 | N/A | 不是必需的 | N/A | 执行 |
| Citrix文件 | 要求 | N/A | 不是必需的 | N/A | 执行 |
| 安全中心 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| Citrix工作区应用 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| 进行交流 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| SalesForce1 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| RSA SecurID | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| 史诗俳句 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| 史诗篇 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| 史诗探测器 | 不是必需的 | 量购买 | 不是必需的 | N/A | 不执行 |
| 史诗多维空间 | 不是必需的 | N/A | 不是必需的 | N/A | 不执行 |
| Vocera | 要求 | N/A | 要求 | 要求 | 执行 |
| HCMail | 要求 | N/A | 要求 | 要求 | 执行 |
| PatientRound-ing | 要求 | N/A | 不是必需的 | N/A | 不执行 |
| Outlook Web Access | 要求 | N/A | 不是必需的 | N/A | 不执行 |
| SharePoint | 要求 | N/A | 不是必需的 | N/A | 不执行 |
用户社区
每个组织都由不同的用户社区组成,这些用户社区以不同的功能角色运作。这些用户团体使用您通过用户设备提供的各种资源执行不同的任务和办公功能。用户可能在家或使用您提供的移动设备在远程办公室工作。或者,用户可能拥有自己的移动设备,这允许他们访问受某些安全遵从性规则约束的工具。
随着越来越多的用户社区开始在工作中使用移动设备,企业移动管理(EMM)在防止数据泄露方面变得至关重要。EMM对于执行组织的安全限制也至关重要。为了高效和更复杂的移动设备管理,您可以对用户社区进行分类。这样做可以简化用户到资源的映射,并为用户调整适当的安全策略。
下面的示例说明了如何对医疗保健组织的用户社区进行EMM分类。
用户社区用例
此示例医疗保健组织提供了技术资源和对多个用户的访问,包括网络和附属公司员工和志愿者。该组织选择只向非执行用户推出EMM解决方案。
该组织的用户角色和功能可以分解为子组,包括:临床、非临床和承包商。部分用户接收企业的移动设备,其他用户则可以通过个人设备访问有限的企业资源。为了执行正确级别的安全限制并防止数据泄露,该组织决定由公司IT管理每个注册设备。这些设备可能是公司拥有的或自带设备(BYOD)。此外,用户只能注册一台设备。
以下部分概述了每个子组的角色和功能:
临床
- 护士
- 内科医生(医生、外科医生等)
- 专科医师(营养师、麻醉师、放射科医师、心脏科医师、肿瘤科医师等)
- 外部医生(非员工医生和远程办公的上班族)
- 家庭保健服务(办公室和流动工作人员为病人进行家访提供医生服务)
- 研究专家(六个研究所的知识工作者和高级用户,从事临床研究,寻找医学问题的答案)
- 教育和培训(护士、医生和教育和培训方面的专家)
非临床
- 共享服务(执行各种后台功能的办公人员,包括人力资源、工资、应付账款和供应链服务)
- 医生服务(执行各种医疗保健管理、行政服务和向提供商提供业务流程解决方案的办公室工作人员,包括:行政服务、分析和商业智能、业务系统、客户服务、财务、托管医疗管理、患者访问解决方案、收入周期解决方案,等等)
- 支持服务(执行各种非临床职能的办公室人员,包括:福利管理、临床整合、沟通、薪酬与绩效管理、设施与财产服务、人力资源技术系统、信息服务、内部审计与流程改进等)
- 慈善项目(支持慈善项目的各种职能的办公室和流动员工)
承包商
- 制造商和供应商合作伙伴(现场和通过站点到站点VPN远程连接,提供各种非临床支持功能)
根据上述信息,组织创建了以下实体。有关端点管理中交付组的更多信息,请参见部署资源.
Active Directory Organizational Units (ou)和组
为你=端点管理资源:
- OU =临床;组=
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside医生
- XM-Home卫生服务
- XM-Research专家
- XM-Education和培训
- OU =非临床;组=
- XM-Shared服务
- XM-Physician服务
- XM-Support服务
- XM-Philanthropic项目
Endpoint Management本地用户和组
对于Group= Contractors, Users =
- Vendor1
- Vendor2
- 供应商3
- …供应商10
端点管理交付组
- 临床护士
- 临床医生
- 临床专科医生
- Clinical-Outside医生
- Clinical-Home卫生服务
- 临床研究专家
- 临床教学和培训
- Non-Clinical-Shared服务
- Non-Clinical-Physician服务
- Non-Clinical-Support服务
- Non-Clinical-Philanthropic项目
下发组与用户组的映射
| 活动目录组 | 端点管理交付组 |
|---|---|
| XM-Nurses | 临床护士 |
| XM-Physicians | 临床医生 |
| XM-Specialists | 临床专科医生 |
| XM-Outside医生 | Clinical-Outside医生 |
| XM-Home卫生服务 | Clinical-Home卫生服务 |
| XM-Research专家 | 临床研究专家 |
| XM-Education和培训 | 临床教学和培训 |
| XM-Shared服务 | Non-Clinical-Shared服务 |
| XM-Physician服务 | Non-Clinical-Physician服务 |
| XM-Support服务 | Non-Clinical-Support服务 |
| XM-Philanthropic项目 | Non-Clinical-Philanthropic项目 |
交付组和资源映射
下面的表格说明了在这个用例中分配给每个交付组的资源。第一个表格显示了移动应用程序分配。第二个表显示了公共应用、HDX应用和设备管理资源。
| 端点管理交付组 | Citrix移动应用程序 | 公共移动应用程序 | HDX移动应用程序 |
|---|---|---|---|
| 临床护士 | X | ||
| 临床医生 | |||
| 临床专科医生 | |||
| Clinical-Outside医生 | X | ||
| Clinical-Home卫生服务 | X | ||
| 临床研究专家 | X | ||
| 临床教学和培训 | X | X | |
| Non-Clinical-Shared服务 | X | X | |
| Non-Clinical-Physician服务 | X | X | |
| Non-Clinical-Support服务 | X | X | X |
| Non-Clinical-Philanthropic项目 | X | X | X |
| 承包商 | X | X | X |
| 端点管理交付组 | 公共应用:RSA SecurID | 公众应用:EpicCare Haiku | HDX App: Epic Hyperspace | 密码策略 | 设备的限制 | 自动操作 | 网络策略 |
|---|---|---|---|---|---|---|---|
| 临床护士 | X | ||||||
| 临床医生 | X | ||||||
| 临床专科医生 | |||||||
| Clinical-Outside医生 | |||||||
| Clinical-Home卫生服务 | |||||||
| 临床研究专家 | |||||||
| 临床教学和培训 | X | X | |||||
| Non-Clinical-Shared服务 | X | X | |||||
| Non-Clinical-Physician服务 | X | X | |||||
| Non-Clinical-Support服务 | X | X |
笔记和注意事项
- Endpoint Management在初始配置时创建一个默认下发组All Users。如果不禁用此传递组,则所有Active Directory用户都具有注册到端点管理的权限。
- Endpoint Management使用到LDAP服务器的动态连接按需同步Active Directory用户和组。
- 如果用户属于未在端点管理中映射的组,则该用户无法注册。同样,如果用户是多个组的成员,端点管理只将该用户分类为映射到端点管理的组的一部分。
安全需求
与Endpoint Management环境相关的安全注意事项的范围可能很快变得难以应付。有许多连锁部件和设置。您可能不知道从哪里开始或选择什么来确保可接受的保护级别。为了使这些选择更简单,Citrix提供了高、高和最高安全性的建议,如下表所示。
安全问题并不是设备注册模式的唯一考虑因素:MAM、可选的MDM+MAM,或者必须的MDM+MAM。在选择管理模式之前,检查用例的需求并决定是否可以减轻安全问题也是很重要的。
高:使用这些设置可以提供最佳的用户体验,同时保持大多数组织都可以接受的基本安全级别。
高:这些设置在安全性和可用性之间建立了更强的平衡。
最高:遵循这些建议可以以可用性和用户采用为代价提供高级别的安全性。
管理模式安全注意事项
下表列出了每个安全级别的管理模式。
| 高安全 | 更高的安全性 | 最高安全 |
|---|---|---|
| 老妈,MDM +老妈 | MDM +老妈 | MDM +老妈 |
注:
- 根据用例的不同,仅mam的部署可以满足安全需求并提供良好的用户体验。
- 对于BYOD这样的用例,所有的业务和安全需求可能只通过应用程序容器化来满足,Citrix建议使用MAM-only模式。
- 对于高安全性环境(以及企业发布的设备),Citrix建议MDM+MAM利用所有可用的安全功能。
Citrix ADC和Citrix Gateway的安全考虑
下表指定了Citrix ADC和Citrix Gateway对每个安全级别的建议。
| 高安全 | 更高的安全性 | 最高安全 |
|---|---|---|
| 推荐Citrix ADC。MAM和MDM+MAM需要Citrix Gateway | 如果端点管理在DMZ中,则用于配置带有SSL桥接的XenMobile向导的标准NetScaler。 | 使用端到端加密的SSL卸载 |
注:
- MDM可以选择通过NAT或现有的第三方代理/负载平衡器向Internet公开Endpoint Management服务器。但是,在这种情况下,SSL通信将在Endpoint Management服务器上终止,这将带来潜在的安全风险。
- 对于高安全性环境,Citrix Gateway使用缺省端点管理配置通常能够满足或超过安全性要求。
- 对于具有最高安全性需求的MDM注册,Citrix Gateway的SSL终止使您能够在外围检查流量,同时保持端到端SSL加密。
- 定义SSL/TLS密码的选项。
- 有关更多信息,请参见与Citrix Gateway和Citrix ADC集成.
注册安全注意事项
下表指定了Citrix ADC和Citrix Gateway对每个安全级别的建议。
| 高安全 | 更高的安全性 | 最高安全 |
|---|---|---|
| 仅支持Active Directory组成员关系。所有用户已禁用下发组。 | 仅邀请注册安全模式。仅支持Active Directory组成员关系。所有用户已禁用下发组 | 与设备ID绑定的注册安全模式。仅支持Active Directory组成员关系。所有用户已禁用下发组 |
注:
- Citrix通常建议将登记限制为只允许预定义的Active Directory组中的用户。此限制要求禁用内置的All users交付组。
- 您可以使用注册邀请来将注册限制为具有邀请的用户。Windows设备不能使用注册邀请。
- 您可以使用一次性PIN (OTP)注册邀请作为一种双因素身份验证解决方案,并控制用户可以注册的设备数量。(OTP邀请不能用于Windows设备。)
设备密码安全注意事项
下表指定了每个安全级别的设备密码建议。
| 高安全 | 更高的安全性 | 最高安全 |
|---|---|---|
| 推荐。设备级加密需要较高的安全性。可以通过MDM强制执行。通过MDX策略可以根据MAM-only的需要设置,不符合设备行为。 | 通过使用MDM、MAM或MDM+MAM策略强制执行。 | 通过使用MDM和MDX策略强制执行。MDM复杂密码策略。 |
注:
- Citrix建议使用设备密码。
- 可以通过MDM策略强制设置设备密码。
- 您可以使用MDX策略使设备密码成为使用托管应用程序的要求;例如,BYOD用例。
- Citrix建议结合MDM和MDX策略选项来提高MDM+MAM注册的安全性。
- 对于安全性要求最高的环境,可以配置复杂的密码策略,并使用MDM强制执行这些策略。您可以配置自动操作来通知管理员或在设备不符合密码策略时发出选择性/全设备擦除。