管理员任务和注意事项
本文讨论移动生产力应用程序的管理员需要了解的相关任务和注意事项。
功能标志管理
如果生产环境中的移动生产力应用程序出现问题,我们可以在应用程序代码内部禁用受影响的功能。我们可以对适用于 iOS 和 Android 的 Secure Hub、Secure Mail 和 Secure Web 禁用该功能。为此,我们将使用功能标志以及名为 LaunchDarkly 的第三方服务。不需要做任何配置即可启用传输到 LaunchDarkly 的流量,但当您配置了阻止出站流量的防火墙或代理时除外。在这种情况下,您根据策略要求通过特定 URL 或 IP 地址启用传输到 LaunchDarkly 的流量。有关 MDX 中支持将域从通道中排除的详细信息,请参阅 MDX Toolkit 文档。
可以通过以下方式启用传输到 LaunchDarkly 的流量和通信:
启用传输到以下 URL 的流量
events.launchdarkly.comstream.launchdarkly.comclientstream.launchdarkly.comfirehose.launchdarkly.com
按域创建允许列表
以前,我们在您的内部策略仅要求列出 IP 地址时提供要使用的 IP 地址列表。现在,由于 Citrix 对基础结构做了改进,我们将逐步淘汰自 2018 年 7 月 16 日开始使用的公用 IP 地址。如果可行,我们建议您按域创建允许列表。
在允许列表中列出 IP 地址
如果必须在允许列表中列出 IP 地址,请参阅此 LaunchDarkly public IP list(LaunchDarkly 公用 IP 列表),获取当前所有 IP 地址范围的列表。此列表可用于确保您的防火墙配置自动更新,以便与基础结构更新保持一致。有关基础结构变更的状态的详细信息,请参阅 LaunchDarkly Statuspage。
注意:
公共应用商店应用程序要求首次部署它们时执行全新安装。不能从应用程序的当前企业打包版本升级到公共应用商店版本。
通过公共应用商店分发,您不必使用 MDX Toolkit 签名和封装 Citrix 开发的应用程序。可以使用 MDX Toolkit 打包第三方应用程序或企业应用程序。
LaunchDarkly 系统要求
- Endpoint Management 10.7 或更高版本。
- 如果您在 Citrix ADC 上将拆分通道设置为关,请确保应用程序能够与以下服务通信:
- LaunchDarkly 服务
- APNs 侦听器服务
支持的应用商店
移动生产力应用程序在 Apple App Store 和 Google Play 中提供。
在不提供 Google Play 的中国,可从以下应用商店中获取 Secure Hub for Android:
启用公共应用商店分发
- 从 Endpoint Management 下载页面下载适用于 iOS 和 Android 的公共应用商店 .mdx 文件。
- 将 .mdx 文件上载到 Endpoint Management 控制台。移动生产力应用程序的公共应用商店版本仍作为 MDX 应用程序上载。请勿在服务器上上载这些应用程序作为公共应用商店应用程序。有关步骤,请参阅添加应用程序。
- 根据您的安全策略将策略从其默认值更改为其他值(可选)。
- 将应用程序推送为必需应用程序(可选)。此步骤要求启用您的环境以进行移动设备管理。
- 将从 App Store、Google Play 或 Endpoint Management 应用商店获取的应用程序安装在设备上。
- 在 Android 上,用户将被重定向到 Play 应用商店以安装应用程序。在 iOS 中,在包含 MDM 的部署中,不需要将用户定向到应用商店即可安装应用程序。
- 从 App Store 或 Play 应用商店安装应用程序时,将执行以下操作。只要对应的 .mdx 文件已上载到服务器,该应用程序就会转为托管应用程序。转为托管应用程序时,该应用程序会提示输入 Citrix PIN。用户输入 Citrix PIN 时,Secure Mail 将显示帐户配置屏幕。
- 只有在 Secure Hub 中注册了且对应的 .mdx 文件在服务器上时,应用程序才可访问。如果未满足任何一个条件,用户可以安装该应用程序,但其使用将被阻止。
如果您当前使用的应用程序来自 Citrix Ready Marketplace(这些应用程序已在公共应用商店中),则您已熟悉部署过程。移动生产力应用程序采用的方法与多数 ISV 当前使用的方法相同。在应用程序内嵌入 MDX SDK 以使该应用程序可在公共应用商店中提供。
注意:
适用于 iOS 和 Android 的 Citrix Files 应用程序的公共应用商店版本现在通用。手机和平板电脑上使用的 Citrix Files 应用程序相同。
Apple 推送通知
有关配置推送通知的详细信息,请参阅配置 Secure Mail 以推送通知。
公共应用商店常见问题解答
-
我可以为不同的用户组部署多个公共应用商店应用程序的副本吗?例如,我希望为不同的用户组部署不同的策略。
为每个用户组上载不同的 .mdx 文件。但是,在这种情况下,单个用户不能属于多个组。如果用户不属于多个组,则会向该用户分配同一应用程序的多个副本。公共应用商店应用程序的多个副本不能部署到相同设备,因为应用程序 ID 不能更改。
-
是否可以将公共商店应用程序作为必备应用程序推送?
是。向设备推送应用程序需要 MDM;对于仅 MAM 的部署不支持。
-
我是否需要更新基于用户代理的任何流量策略或 Exchange Server 规则?
任何基于用户代理的策略和规则的字符串(按平台)都如下所示。
重要:
Secure Notes 和 Secure Tasks 已于 2018 年 12 月 31 日达到生命周期结束 (EOL) 状态。有关详细信息,请参阅 EOL 和已弃用的应用程序。
Android
| 应用程序 | 服务器 | 用户代理字符串 |
|---|---|---|
| Citrix Secure Mail | Exchange | WorxMail |
| Lotus Notes Traveler | Apple - iPhone WorxMail | |
| Citrix Secure Web | WorxMail | |
| Citrix Secure Tasks | Exchange | WorxMail |
| Citrix Secure Notes | Exchange | WorxMail |
| Citrix Files | Secure Notes |
iOS
| 应用程序 | 服务器 | 用户代理字符串 |
|---|---|---|
| Citrix Secure Mail | Exchange | WorxMail |
| Lotus Notes Traveler | Apple - iPhone WorxMail | |
| Citrix Secure Web | com.citrix.browser | |
| Citrix Secure Tasks | Exchange | WorxTasks |
| Citrix Secure Notes | Exchange | WorxNotes |
| Citrix Files | Secure Notes |
-
是否可以阻止应用程序升级?
否。公共应用商店中发布更新时,启用了自动更新的任何用户都将接收该更新。
-
是否可以强制执行应用程序升级?
是,可以通过升级宽限期策略强制执行升级。与更新版本的应用程序对应的新 .mdx 文件上载到 Endpoint Management 时,设置此策略。
-
如果无法控制更新时间段,如何在更新到达用户之前测试应用程序?
与 Secure Hub 的过程类似,在 EAR 期间,可以在 TestFlight for iOS 上测试应用程序。对于 Android,将在 EAR 期间通过 Google Play 测试版程序提供应用程序。可以在此期间测试应用程序更新。
-
如果我没有在自动更新到达用户设备之前更新新 .mdx 文件,会发生什么?
更新后的应用程序保持与较旧的 .mdx 文件兼容。依赖于新策略的任何新功能不会被启用。
-
如果安装了 Secure Hub,应用程序是否将转为托管应用程序,或者是否需要注册该应用程序?
必须在 Secure Hub 中注册用户,公共应用商店应用程序才能激活为托管应用程序(由 MDX 保护)并且可以使用。如果 Secure Hub 已安装但未注册,用户将无法使用公共应用商店应用程序。
-
对于公共商店应用程序,是否需要 Apple 企业开发人员帐户?
否。由于 Citrix 现在维护移动生产力应用程序的证书和预配配置文件,因此,不需要 Apple 企业开发人员帐户即可为用户部署这些应用程序。
-
企业分发的结束是否适用于部署的任何打包应用程序?
否,它仅适用于移动生产力应用程序:Secure Mail、Secure Web、适用于 Endpoint Management 的 Citrix Content Collaboration、QuickEdit 和 ShareConnect。已部署的任何企业打包应用程序(内部开发或由第三方开发)可以继续使用企业打包功能。MDX Toolkit 继续面向应用程序开发人员支持企业打包功能。
-
当我安装来自 Google Play 的应用程序时,收到错误代码为 505 的 Android 错误。
注意:
针对 Android 5.x 的支持已于 2018 年 12 月 31 日结束。
这是 Google Play 和 Android 5.x 版本的已知问题。如果发生此错误,可以按照以下步骤来清理设备上阻止应用程序安装的过期数据:
-
请重新启动设备。
-
通过设备设置清除 Google Play 的缓存和数据。
-
最后,在您的设备上删除并重新添加 Google 帐户。
有关详细信息,请使用以下关键字搜索此站点:“Fix Google Play Store Error 505 in Android: Unknown Error Code”(修复 Android 中的 Google Play 应用商店错误 505: 未知错误代码)
-
尽管 Google Play 上的应用程序已发布到生产环境,并且没有新的测试版本可用,为什么我在 Google Play 上的应用程序标题后面会看到 Beta 字样?
如果您已加入我们的早期访问版本 (Early Access Release, EAR) 计划,您始终会在应用程序标题旁边看到 Beta 字样。此名称只是通知用户其对某个特定应用程序的访问级别。Beta 名称指示用户收到最新版本的可用应用程序。最新版本可能是发布到生产跟踪或测试版跟踪的最新版本。
-
安装并打开应用程序后,尽管 .mdx 文件已在 Endpoint Management 控制台中,用户仍会看到消息“未授权的应用程序”。
如果用户直接从 App Store 或 Google Play 安装应用程序,并且如果 Secure Hub 未刷新,则会出现此问题。不活动计时器过期时必须刷新 Secure Hub。用户打开 Secure Hub 并重新进行身份验证时,策略将刷新。应用程序将在下次用户打开该应用程序时获得授权。
-
是否需要访问代码才能使用应用程序?从 App Store 或 Play 应用商店安装应用程序时,看到提示输入访问代码的屏幕。
如果看到要求输入访问代码的屏幕,表示您未通过 Secure Hub 在 Endpoint Management 中注册。使用 Secure Hub 注册,并确保应用程序的 .mdx 文件部署在服务器上。此外,请确保可以使用该应用程序。访问代码限制为仅供 Citrix 内部使用。应用程序要求激活 Endpoint Management 部署。
-
是否可以通过 VPP 或 DEP 部署 iOS 公共商店应用程序?
Endpoint Management 已针对未启用 MDX 的公共应用商店应用程序的 VPP 分发进行优化。尽管您能够通过 VPP 分发 Endpoint Management 公共应用商店应用程序,但在我们进一步增强 Endpoint Management 和 Secure Hub 应用商店的功能以解决限制问题之前,该部署并非最优部署。有关通过 VPP 部署 Endpoint Management 公共应用商店应用程序的已知问题列表以及可能的解决方法,请参阅 Citrix 知识中心中的这篇文章。
适用于移动生产力应用程序的 MDX 策略
通过 MDX 策略,您可以配置 Endpoint Management 强制执行的设置。MDX 策略包括身份验证、设备安全、网络要求和访问、加密、应用程序交互、应用程序限制等。许多 MDX 策略都适用于所有移动生产力应用程序。某些策略是应用程序特定的策略.
策略文件将以 .mdx 文件格式向移动生产力应用程序的公共应用商店版本提供。也可以在添加应用程序时,在 Endpoint Management 控制台中配置策略。
有关 MDX 策略的完整说明,请参阅本部分中的以下文章:
以下各部分内容介绍了与用户连接有关的 MDX 策略。
Secure Mail for Android 中的双模式
移动应用程序管理 (MAM) SDK 可用于替换 iOS 和 Android 平台未涵盖的 MDX 功能区域。MDX 封装技术计划于 2021 年 9 月达到生命周期结束 (EOL) 状态。要继续管理您的企业应用程序,必须合并 MAM SDK。
自 20.8.0 版起,Android 应用程序随 MDX 和 MAM SDK 一起发布,以便为上文提及的 MDX EOL 策略做好准备。MDX 双模式旨在提供一种从旧版 MDX Toolkit 过渡到当前 MAM SDK 的方法。使用双模式将允许您执行以下操作:
- 继续使用 MDX Toolkit 管理应用程序(现在在 Endpoint Management 控制台中命名为旧版 MDX)
-
管理纳入新 MAM SDK 的应用程序。
注意:
使用 MAM SDK 时,不需要封装应用程序。
切换到 MAM SDK 后,不需要执行其他步骤。
有关 MAM SDK 的详细信息,请参阅以下文章:
- MAM SDK 概述
- 设备管理上的 Citrix Developer 部分
- Citrix 博客文章
- 当您登录到 Citrix 下载页面时下载 SDK
必备条件
要成功部署双模式功能,请确保以下各项:
- 将 Citrix Endpoint Management 更新到 10.12 RP2 及更高版本,或 10.11 RP5 及更高版本。
- 将您的移动应用程序更新到 20.8.0 或更高版本。
- 将策略文件更新到版本 20.8.0 或更高版本。
- 如果贵组织使用第三方应用程序,请务必在切换到 Citrix 移动生产力应用程序的 MAM SDK 选项之前将 MAM SDK 合并到第三方应用程序中。您的所有托管应用程序都必须同时移动到 MAM SDK。
注意:
支持所有基于云的客户使用 MAM SDK。
限制
- MAM SDK 仅支持在 Citrix Endpoint Management 部署中在 Android Enterprise 平台下发布的应用程序。对于新发布的应用程序,默认加密是基于平台的加密。
- MAM SDK 仅支持基于平台的加密,不支持 MDX 加密。
- 如果不更新 Citrix Endpoint Management,并且策略文件在版本为 20.8.0 及更高版本的移动应用程序上运行,则会为 Secure Mail 创建网络策略的重复条目。
在 Citrix Endpoint Management 中配置 Secure Mail 时,双模式功能允许您继续使用 MDX Toolkit(现为旧版 MDX)管理应用程序,或者切换到新 MAM SDK 进行应用程序管理。Citrix 建议您切换到 MAM SDK,因为 MAM SDK 的模块化程度更高,仅允许您使用组织使用的一部分 MDX 功能。
可以在 MDX 或 MAM SDK 策略容器中获取以下策略设置选项:
- MAM SDK
- 旧版 MDX
在 MDX 或 MAM SDK 策略容器策略中,您只能将选项从旧版 MDX 更改为 MAM SDK。不允许使用从 MAM SDK 切换到旧版 MDX 的选项,您需要重新发布应用程序。默认值为旧版 MDX。确保为在同一设备上运行的 Secure Mail 和 Secure Web 设置了相同的策略模式。不能在同一设备上运行两种不同的模式。
与内部网络的用户连接
通过通道连接到内部网络的连接可以使用完整 VPN 通道或无客户端 VPN 的变体(称为“通道 - Web SSO”)。“首选 VPN 模式”策略控制该行为。默认情况下,连接将使用“通道 - Web SSO”,对于需要进行 SSO 的连接,建议采用此方式。建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道设置。该设置通过 TCP 处理任何协议,并且可以在 Windows 和 Mac 计算机以及 iOS 和 Android 设备上使用。
允许 VPN 模式切换策略允许用户根据需要在“完整 VPN 通道”模式与“通道 - Web SSO”模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。例如,完整 VPN 通道模式(而非“通道 - Web SSO”模式)可以接受服务器对客户端证书的质询。同样,使用“通道 - Web SSO”模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。
网络访问限制
“网络访问”策略指定是否对网络访问设置限制。默认情况下,Secure Mail 访问不受限制,这表示不对网络访问权限设置任何限制。应用程序对设备连接到的网络具有不受限制的访问权限。默认情况下,Secure Web 访问通过通道连接到内部网络,这表示将对所有网络访问使用返回到内部网络的 PerApp VPN 通道,并且使用 Citrix ADC 拆分通道设置。您还可以指定阻止的访问,以便应用程序运行时好像设备未建立网络连接。
如果要允许使用 AirPrint、iCloud 以及 Facebook 和 Twitter API 等功能,请勿阻止“网络访问”策略。
“网络访问”策略还与“后台网络服务”策略交互。有关详细信息,请参阅集成 Exchange Server 或 IBM Notes Traveler 服务器。
Endpoint Management 客户端属性
客户端属性包含用户设备上直接提供给 Secure Hub 的信息。客户端属性位于 Endpoint Management 控制台的设置 > 客户端 > 客户端属性中。
客户端属性用于配置诸如以下各项设置:
用户密码缓存
通过用户密码缓存,用户的 Active Directory 密码将本地缓存在移动设备上。如果您启用了用户密码缓存,系统将提示用户设置 Citrix PIN 或通行码。
不活动计时器
不活动计时器定义用户可以让其设备处于不活动状态而不会在用户访问应用程序时提示输入 Citrix PIN 或通行码的时间(单位为分钟)。要为 MDX 应用程序启用此设置,必须将“应用程序通行码”策略设置为开。如果“应用程序通行码”策略设置为关,用户将被重定向到 Secure Hub 以执行完整身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。
Citrix PIN 身份验证
Citrix PIN 简化了用户身份验证体验。PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。如果您配置了 PIN 设置,用户的登录体验将如下所示:
-
用户首次启动 Secure Hub 时,将收到输入 PIN 的提示,这样将缓存 Active Directory 凭据。
-
用户下次启动移动生产力应用程序(例如 Secure Mail)时,将输入 PIN 并登录。
使用客户端属性启用 PIN 身份验证、指定 PIN 类型、指定 PIN 的强度、长度以及更改要求。
指纹或 Touch ID 身份验证
适用于 iOS 设备的指纹身份验证(也称为 Touch ID 身份验证)将替代 Citrix PIN。当打包的应用程序(除 Secure Hub 外)需要使用脱机身份验证时(例如不活动计时器过期时),此功能非常有用。可以在下列身份验证方案中启用此功能:
- Citrix PIN + 客户端证书配置
- Citrix PIN + 缓存 AD 密码配置
- Citrix PIN + 客户端证书配置和缓存 AD 密码配置
- Citrix PIN 已关闭
如果指纹身份验证失败,或者用户取消指纹身份验证提示,则封装的应用程序将恢复使用 Citrix PIN 或 AD 密码身份验证。
指纹身份验证要求
-
支持指纹身份验证并且至少配置了一个指纹的 iOS 设备(最低版本为 8.1)。
-
必须关闭用户熵功能。
配置指纹身份验证
重要:
如果用户熵已启用,则忽略“启用 Touch ID 身份验证”属性。用户熵通过“Encrypt secrets using Passcode”(使用通行码加密机密)密钥启用。
-
在 Endpoint Management 控制台中,转到设置 > 客户端 > 客户端属性。
-
单击添加。
-
添加键 ENABLE_TOUCH_ID_AUTH,将其值设置为 True,然后将策略名称设置为启用指纹身份验证。
配置指纹身份验证后,用户不需要重新注册其设备。
有关“使用通行码加密机密”密钥和常规客户端属性的详细信息,请参阅有关客户端属性的 Endpoint Management 文章。
Google Analytics
Citrix Secure Mail 使用 Google Analytics 收集应用程序统计信息和使用情况信息分析数据,以提高产品质量。Citrix 不会收集或存储任何其他个人用户信息。
禁用 Google Analytics
管理员可以通过配置自定义客户端属性 DISABLE_GA 来禁用 Google Analytics。要禁用 Google Analytics,请执行以下操作:
- 登录 Citrix Endpoint Management 控制台,然后导航到 Settings(设置)> Client Properties(客户端属性)> Add New Client Property(添加新客户端属性)。
- 将值 DISABLE_GA 添加到 Key(密钥)字段。
- 将客户端属性的值设置为 true。
注意:
如果您未在 Citrix Endpoint Management 控制台中配置值 DISABLE_GA,Google Analytics 数据将处于活动状态。