管理模式
对于每个XenMobile实例(单个服务器或节点的群集),您可以选择管理设备,应用程序还是管理两者。XenMobile对设备和应用程序管理模式使用以下术语:
- 移动设备管理模式(MDM模式)
- 移动应用程序管理模式(老妈模式)
- MDM +老妈模式(企业模式)
移动设备管理(MDM模式)
重要:
如果配置了MDM模式,之后更改为ENT模式,请务必使用相同的(Active Directory)身份验证。XenMobile不支持在用户注册后更改身份验证模式。有关详细信息,请参阅升级。
在MDM模式下,可以配置和支持移动设备以及确保移动设备的安全。MDM允许您在系统级别保护设备和设备上的数据。可以配置策略、操作和安全功能。例如,如果设备丢失、被盗或不合规,可以选择性擦除设备。虽然应用程序管理功能在MDM模式下不可用,但是您可以在此模式下交付移动应用程序,例如公共应用商店应用程序和企业应用程序。下面是MDM模式的常见用例:
- MDM是需要设备级别的管理策略或限制(例如,完全擦除,选择性擦除或地理位置)的公司拥有的设备的考虑因素。
- 客户需要管理实际的设备,但不需要MDX策略时,例如,应用程序容器化、控制应用程序数据共享或微VPN。
- 用户仅需要电子邮件传送给其移动设备上的本机电子邮件客户端,并且交换ActiveSync或客户端访问服务器已可从外部访问时。在此用例中,可以使用MDM配置电子邮件传送。
- 部署本机企业应用程序(非MDX),公共应用商店应用程序或从公共应用商店交付的MDX应用程序时。请注意,MDM解决方案本身不能防止设备上的应用程序之间的机密数据的数据泄漏。数据泄漏可能会在Office 365应用程序中执行复制和剪贴操作或“另存为”操作时发生。
移动应用程序管理(老妈模式)
老妈保护应用程序并且允许您控制应用程序数据共享。老妈还允许您独立于个人数据来管理公司数据和资源。在XenMobile中配置了老妈模式的情况下,可以使用启用了MDX的移动应用程序提供每应用程序容器化和控制。术语“老妈模式”又称为“仅老妈模式”。此术语将此模式与旧版老妈模式区分开来。
通过利用MDX策略,XenMobile提供通过网络访问(例如微VPN)进行的应用程序级别控制,应用程序和设备交互,数据加密和应用程序访问。
老妈通常适用于自带(自带食物)设备,因为即使设备未托管,公司数据仍受保护。MDX有许多不需要MDM控制的仅老妈策略。
老妈还支持移动生产力应用程序。此支持包括向Citrix安全邮件安全地传送电子邮件,在受保护的移动生产力应用程序之间共享数据以及在Citrix文件中安全地存储数据。有关详细信息,请参阅移动生产力应用程序。
老妈通常适用于以下示例:
- 您提供在应用程序级别管理的移动应用程序,例如MDX应用程序。
- 您不需要在系统级别管理设备。
MDM + MAM(企业模式)
MDM +老妈属于混合模式,又称为“企业模式”,这将启用XenMobile企业移动性管理(EMM)解决方案中提供的所有功能集。在XenMobile中配置MDM +老妈模式将同时启用MDM和老妈功能。
XenMobile允许您指定用户是否可以选择退出设备管理或者您是否需要进行设备管理。这种灵活性对包括混合用例的环境非常有用。这些环境可能需要通过MDM策略管理设备才能访问您的老妈资源。
MDM +老妈适用于以下示例:
- 您具有同时需要MDM和老妈的单个用例。需要MDM才能访问您的老妈资源。
- 有些用例需要MDM,而有些用例不需要。
- 有些用例需要老妈,而有些用例不需要。
您通过“服务器模式”属性指定XenMobile服务器的管理模式。您在XenMobile控制台中配置设置。模式可以是MDM,老妈或ENT(适用于MDM + MAM)。
您具有许可证的XenMobile版本决定管理模式和其他可用的功能,如下表中所示。
| XenMobile MDM版 | XenMobile高级版 | XenMobile企业版 |
| MDM功能 | MDM功能 | MDM功能 |
| - | 老妈功能 | 老妈功能 |
| - | MDX工具包 | MDX工具包 |
| 安全中心 | 安全中心 | 安全中心 |
| - | 安全邮件 | 安全邮件 |
| - | 安全的网络 | 安全的网络 |
| QuickEdit | QuickEdit | QuickEdit |
| - | - | ShareConnect |
| - | - | Citrix文件 |
管理模式和注册配置文件
管理模式和注册配置文件协同工作。可以使用注册配置文件为Android和iOS设备配置设备管理和应用程序管理注册选项。对于Android,可用于MDM +老妈服务器模式的注册选项与可用于MDM模式的选项不同。有关详细信息,请参阅注册配置文件。
设备管理和MDM注册
XenMobile企业环境可以包括混合用例,其中某些用例要求通过MDM策略进行设备管理以访问老妈资源。为用户部署移动生产力应用程序之前,请完全评估您的用例并决定是否要求MDM注册。如果以后决定更改MDM注册的要求,用户可能必须重新注册其设备。
注意:
要指定是否要求用户在MDM中注册,请使用XenMobile控制台中的XenMobile服务器属性需要注册(设置 > 服务器属性)。该全局服务器属性适用于XenMobile实例的所有用户和设备。该属性仅在XenMobile服务器模式为ENT时适用。
下面概述了XenMobile企业模式部署中要求MDM注册的优势和劣势(以及缓解操作)。
MDM注册为可选时
优势:
- 用户不需要将其设备置于MDM管理模式即可访问老妈资源。此选项可以增加用户采用率。
- 能够安全访问老妈资源以保护企业数据。
- 应用程序通行码等MDX策略可以控制对每个MDX应用程序的应用程序访问。
- 配置Citrix ADC, XenMobile服务器和每应用程序超时以及Citrix销将提供一层额外的保护。
- 虽然MDM操作不适用于设备,但某些MDX策略可用于拒绝老妈访问。拒绝将取决于系统设置,例如越狱或获得根权限的设备。
- 用户可以选择是否在首次使用过程中通过MDM注册其设备。
劣势:
- 老妈资源适用于未在MDM中注册的设备。
- MDM策略和操作仅适用于MDM注册的设备。
缓解方案:
- 使用户同意在其选择不遵从合规性的情况下追究其责任的公司条款和条件。使管理员监视未托管的设备。
- 使用应用程序计时器管理应用程序访问和安全性。降低的超时值提高了安全性,但可能会影响用户体验。
- 一种方案是使用第二个要求MDM注册的XenMobile环境。考虑使用此方案时,请谨记管理两种环境的额外开销以及所需的额外资源。
要求MDM注册时
优势:
- 能够将老妈资源的访问仅限制到MDM托管的设备。
- 根据需要,MDM策略和操作可能适用于环境中的所有设备。
- 用户无法选择退出注册其设备。
劣势:
- 要求所有用户通过MDM注册。
- 可能会降低反对公司管理其个人设备的用户的采用率。
缓解方案:
- 针对XenMobile在其设备上实际管理的对象以及信息管理员可以访问的资源向用户提供教育培训。
- 可以对不需要MDM管理的设备使用第二个XenMobile环境和服务器模式MAM(又称为“仅老妈模式”)。考虑使用此方案时,请谨记管理两种环境的额外开销以及所需的额外资源。
关于老妈和旧版老妈模式
XenMobile 10.3.5引入了新的“仅老妈”服务器模式。文档使用这些术语来区分以前的老妈模式与新的老妈模式。新模式称为“仅老妈”或“马”,以前的老妈模式称为旧版老妈模式。
当XenMobile的服务器模式属性为老妈时仅老妈“模式生效。设备在老妈模式中注册。
当XenMobile的服务器模式属性为ENT以及用户选择退出设备管理时,旧老妈功能生效。在这种情况下,设备在老妈模式下注册。选择退出MDM管理的用户将继续接收旧版老妈功能。
注意:
以前,将“服务器模式”属性设置为老妈与将其设置为ENT具有相同的效果:选择退出MDM管理的用户收到旧版老妈功能。
下表概述了用于特定许可证类型的“服务器模式”设置以及所需的设备模式:
| 您的许可证适用于此版本 | 您希望设备在此模式下注册 | 将“服务器模式”属性设置为 |
| 企业/高级/ MDM | MDM模式 | MDM |
| 企业/先进 | 老妈模式(又称为“仅老妈模式”) | 老妈 |
| 企业/先进 | MDM +老妈模式 | ENT(选择退出设备管理的用户将在旧版老妈模式下操作)。 |
仅老妈模式支持以前仅对ENT可用的以下功能。这些功能不适用于Windows Phone。
- 基于证书的身份验证:仅老妈模式支持基于证书的身份验证。即使Active Directory密码过期时,用户也会遇到继续访问其应用程序的情况。如果对老妈设备使用基于证书的身份验证,则必须配置Citrix网关。默认情况下,在XenMobile设置> Citrix网关中,“向用户提供用于身份验证的证书”设置为关,表示使用用户名和密码身份验证。将该设置更改为开将启用证书身份验证。
- 自助服务门户:允许用户执行各自的应用程序锁定和应用程序擦除操作。这些操作适用于设备上的所有应用程序。您可以在配置 > 操作中配置应用程序锁定和应用程序擦除操作。
- 所有注册安全模式:包括”高安全性”、“邀请URL”和“双重身份验证”,通过管理 > 注册邀请进行配置。
- 面向Android和iOS设备的设备注册限制:服务器属性每个用户的设备数已移动到配置 > 注册配置文件,并且现在适用于所有服务器模式。
- 仅老妈API:对于仅老妈设备,可以通过使用任何其他客户端和XenMobile REST API调用XenMobile控制台展现的服务来调用其他服务。
- 通过仅老妈API,可以执行以下操作:
- 发送邀请URL和一次性销。
- 在设备上发出应用程序锁定和擦除命令。
下表总结了旧版老妈和仅老妈功能之间的差别。
| 注册场景及其他功能 | 旧版MAM(服务器模式为ENT) | 仅老妈模式(服务器模式为老妈) |
| 证书身份验证 | 不受支持。 | 支持。对于证书身份验证,需要配置Citrix网关。 |
| 部署要求 | XenMobile服务器不需要能够直接从设备访问。 | XenMobile服务器不需要能够直接从设备访问。 |
| 注册选项 | 使用Citrix网关FQDN,或者使用MDM FQDN时,选择退出注册。 | 使用XenMobile服务器FQDN。 |
| 注册方法* | 用户名 + 密码 | 用户名+密码,高安全性,邀请URL,邀请URL +销,邀请URL +密码,双重身份验证,用户名+销 |
| 应用程序锁定和擦除 | 支持。 | 支持。 |
| 用于应用程序锁定和擦除的自助服务门户选项 | 不受支持。 | 支持。 |
| 应用程序擦除行为 | 应用程序保留在设备上,但不可使用。XenMobile仅删除客户端上的帐户。 | 应用程序保留在设备上,但不可使用。XenMobile仅删除客户端上的帐户。 |
| 面向仅老妈用户的自动化操作。 | 支持事件、设备属性和用户属性操作。不支持基于已安装的应用程序的自动化操作。 | 支持事件、设备属性、用户属性和某些基于应用程序的操作,包括应用程序擦除和应用程序锁定。 |
| 删除了Active Directory用户时的内置操作 | 支持应用程序擦除。 | 支持应用程序擦除。 |
| 注册限制 | 支持;通过注册配置文件进行配置。 | 支持;通过注册配置文件进行配置。 |
| 软件清单 | 支持。XenMobile列出了设备上安装的应用程序 | 不受支持。 |
*关于通知:SMTP是唯一支持的发送注册邀请的方法。
重要:
对于仅老妈模式,以前注册的用户必须重新注册其设备。请务必向用户提供注册所需的FQDN XenMobile服务器。在仅老妈模式下,设备使用XenMobile服务器FQDN进行注册,这一点与ENT模式相同。(在旧版老妈模式下,设备使用Citrix网关FQDN进行注册)。