用户社区
每个组织都由以不同功能角色运作的不同用户社区组成。这些用户社区使用您通过用户移动设备提供的各种资源执行不同的任务和办公功能。用户可能在家或在远程办公室使用您提供的移动设备工作。或者,用户可能使用个人移动设备,这允许他们访问受某些安全法规约束的工具。
随着越来越多的用户群体使用移动设备,企业移动性管理(EMM)对于防止数据泄漏和实施组织安全限制变得至关重要。为了更高效和更复杂的移动设备管理,您可以对用户社区进行分类。这样做简化了用户到资源的映射,并确保正确的安全策略应用于正确的用户。
对用户社区进行分类可以包括使用以下组件:
Active Directory组织单元和组
添加到特定Active Directory安全组的用户可以接收策略和资源,例如应用程序。从Active Directory安全组中删除用户将删除对以前允许的端点管理资源的访问权。
端点管理本地用户和组
对于在Active Directory中没有帐户的用户,可以将用户创建为本地端点管理用户。您可以按照与Active Directory用户相同的方式,将本地用户添加到交付组,并为其发放资源。
端点管理交付组
如果拥有不同权限级别的多个用户组要使用单个应用程序,您可能需要创建单独的交付组。使用单独的交付组,您可以部署同一应用程序的两个独立版本。Citrix建议在创建设备策略之前创建交付组。
下发组和用户组映射
传递组到Active Directory组的映射可以是一对一的映射,也可以是一对多的映射。将基本策略和应用程序分配给一对多的交付组映射。将特定于功能的策略和应用程序分配到一对一的交付组映射。
应用程序的交付组和资源映射
为每个快递组分配特定的应用程序。
MDM资源的下发组和资源映射
为每个交付组分配应用程序和特定的设备管理资源。例如,使用以下任意组合配置一个交付组:应用程序类型(公共、HDX等),每种应用程序类型的特定应用程序,以及设备策略和自动操作等资源。
以下示例说明如何对医疗保健组织的用户社区进行EMM分类。
用例
此示例医疗保健组织为多个用户提供技术资源和访问权,包括网络和附属员工以及志愿者。该组织选择只向非执行用户推出EMM解决方案。
您可以将该组织的用户角色和功能划分为子组,包括:临床、非临床和承包商。选定的一组用户接收公司移动设备,而其他用户可以从他们的个人设备(BYOD)访问有限的公司资源。为了实施适当级别的安全限制并防止数据泄漏,组织决定由公司IT管理每个注册设备。此外,用户只能注册一台设备。
以下部分概述了每个子组的角色和功能。
临床
- 护士
- 内科医生(医生、外科医生等)
- 专家(营养师、麻醉师、放射科医生、心脏病医生、肿瘤科医生等)
- 外部医生(非雇员医生和在远程办公室工作的办公室工作人员)
- 家庭保健服务(为病人家访提供医生服务的办公室和流动工作人员)
- 研究专家(在六个研究机构从事临床研究,以寻找医学问题的答案的知识工作者和权力使用者)
- 教育和培训(护士、医生、教育和培训专家)
非临床
- 共享服务(办公室工作人员执行各种后台功能,包括:人力资源、工资、应付账款、供应链服务等)
- 医生服务(向供应商执行各种医疗保健管理、行政服务和业务流程解决方案的办公室工作人员,包括:行政服务、分析和商业智能、业务系统、客户服务、财务、托管医疗管理、患者访问解决方案、收入周期解决方案,等等)
- 支持服务(履行各种非临床职能的办公室工作人员,包括:福利管理、临床整合、沟通、薪酬和绩效管理、设施和物业服务、人力资源技术系统、信息服务、内部审计和流程改进等。)
- 慈善项目(为支持慈善项目履行各种职能的办公室和流动人员)
承包商
- 制造商和供应商合作伙伴(通过点到点VPN进行现场和远程连接,提供各种非临床支持功能)
根据以上信息,组织创建了以下实体。有关端点管理中交付组的详细信息,请参见部署资源在端点管理产品文档中。
Active Directory组织单元和组
对于OU =端点管理资源
- OU =临床;组=
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside医生
- xm家庭健康服务公司
- XM-Research专家
- xm教育和培训
- OU =非临床;组=
- XM-Shared服务
- XM-Physician服务
- XM-Support服务
- XM-Philanthropic项目
端点管理本地用户和组
对于Group= contractor, Users =
- Vendor1
- Vendor2
- 供应商3
- ……供应商10
端点管理交付组
- 临床护士
- 临床医生
- 临床专科医生
- Clinical-Outside医生
- 临床-家庭健康服务
- 临床研究专家
- 临床教育和培训
- Non-Clinical-Shared服务
- Non-Clinical-Physician服务
- Non-Clinical-Support服务
- Non-Clinical-Philanthropic项目
交付组和用户组映射
| Active Directory组 | 端点管理交付组 |
|---|---|
| XM-Nurses | 临床护士 |
| XM-Physicians | 临床医生 |
| XM-Specialists | 临床专科医生 |
| XM-Outside医生 | Clinical-Outside医生 |
| xm家庭健康服务公司 | 临床-家庭健康服务 |
| XM-Research专家 | 临床研究专家 |
| xm教育和培训 | 临床教育和培训 |
| XM-Shared服务 | Non-Clinical-Shared服务 |
| XM-Physician服务 | Non-Clinical-Physician服务 |
| XM-Support服务 | Non-Clinical-Support服务 |
| XM-Philanthropic项目 | Non-Clinical-Philanthropic项目 |
应用程序的交付组和资源映射
| 安全邮件 | 安全的网络 | Citrix文件 | 工作空间的应用 | SalesForce1 | RSA SecurID | EpicCare俳句 | 史诗多维空间 | |
|---|---|---|---|---|---|---|---|---|
| 临床护士 | X | X | X | |||||
| 临床医生 | ||||||||
| 临床专科医生 | ||||||||
| Clinical-Outside医生 | X | X | ||||||
| 临床-家庭健康服务 | X | X | ||||||
| 临床研究专家 | X | X | ||||||
| 临床教育和培训 | X | X | ||||||
| Non-Clinical-Shared服务 | X | X | ||||||
| Non-Clinical-Physician服务 | X | X | ||||||
| Non-Clinical-Support服务 | X | X | X | X | ||||
| Non-Clinical-Philanthropic项目 | X | X | X | X | ||||
| 承包商 | X | X | X | X | X | X |
MDM资源的下发组和资源映射
| MDM:密码策略 | MDM:设备限制 | MDM:自动操作 | MDM:网络策略 | |
|---|---|---|---|---|
| 临床护士 | X | |||
| 临床医生 | X | |||
| 临床专科医生 | ||||
| Clinical-Outside医生 | ||||
| 临床-家庭健康服务 | ||||
| 临床研究专家 | ||||
| 临床教育和培训 | ||||
| Non-Clinical-Shared服务 | ||||
| Non-Clinical-Physician服务 | ||||
| Non-Clinical-Support服务 | ||||
| Non-Clinical-Philanthropic项目 | ||||
| 承包商 | X |
注意事项
- 端点管理在初始配置时创建一个名为All Users的默认交付组。如果不禁用此交付组,则所有Active Directory用户都有权注册到端点管理。
- 端点管理使用到LDAP服务器的动态连接按需同步Active Directory用户和组。
- 如果用户是未在端点管理中映射的组的一部分,则该用户不能注册。同样,如果一个用户是多个组的成员,端点管理只将该用户归类为映射到端点管理的组。