XenMobile Server 10.11 中的新增功能
XenMobile Server 10.11 (PDF 下载)
Apple Volume Purchase Program 迁移到 Apple Business Manager (ABM) 和 Apple School Manager (ASM)
使用 Apple Volume Purchase Program (VPP) 的公司和机构必须在 2019 年 12 月 1 日之前迁移到 Apple Business Manager 或 Apple School Manager 中的“应用和图书”。
在 XenMobile 中迁移 VPP 帐户之前,请参阅此 Apple 支持文章。
如果您的组织或学校仅使用 Volume Purchase Program (VPP),则可以注册 ABM/ASM,然后邀请现有 VPP 购买者加入您的新 ABM/ASM 帐户。对于 ASM,请导航到 https://school.apple.com。对于 ABM,请导航到 https://business.apple.com。
要在 XenMobile® 上更新您的 Volume Purchase(以前称为 VPP)帐户:
-
在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示“设置”页面。
-
单击“批量购买”。此时将显示“批量购买”配置页面。
-
确保您的 ABM 或 ASM 帐户具有与您以前的 VPP 帐户相同的应用程序配置。
-
在 ABM 或 ASM 门户中,下载更新的令牌。
-
在 XenMobile 控制台中,执行以下操作:
-
使用该位置的更新令牌信息编辑现有批量购买帐户。
-
编辑您的 ABM 或 ASM 凭据。请勿更改后缀。
-
单击“保存”两次。
-
对 iOS 13 的其他支持
重要提示:
为设备升级到 iOS 12+ 做准备:iOS 的 VPN 设备策略中的 Citrix VPN 连接类型不支持 iOS 12+。请删除您的 VPN 设备策略,并使用 Citrix SSO 连接类型创建 VPN 设备策略。
删除 VPN 设备策略后,Citrix VPN 连接将继续在以前部署的设备中运行。您的新 VPN 设备策略配置将在 XenMobile Server 10.11 中用户注册期间生效。
XenMobile Server 支持升级到 iOS 13 的设备。升级对用户的影响如下:
-
在注册期间,将显示一些新的 iOS 设置助理选项屏幕。Apple 已将新的 iOS 设置助理选项屏幕添加到 iOS 13。此版本中不包含“设置”>“Apple 设备注册计划 (DEP)”页面中的新选项。因此,您无法配置 XenMobile Server 以跳过这些屏幕。这些页面将显示给 iOS 13 设备上的用户。
-
某些在以前版本的 iOS 中适用于受监督或不受监督设备的“限制”设备策略设置仅适用于 iOS 13+ 的受监督设备。当前的 XenMobile Server 控制台工具提示尚未指示这些设置仅适用于 iOS 13+ 的受监督设备。
- 允许硬件控制:
- FaceTime
- 安装应用程序
- 允许应用程序:
- iTunes Store
- Safari
- Safari > 自动填充
- 网络 - 允许 iCloud 操作:
- iCloud 文档和数据
- 仅受监督设置 - 允许:
- Game Center > 添加朋友
- Game Center > 多人游戏
- 媒体内容 - 允许:
- 露骨音乐、播客和 iTunes U 材料
- 允许硬件控制:
这些限制的适用情况如下:
- 如果 iOS 12(或更低版本)设备已在 XenMobile Server 中注册,然后升级到 iOS 13,则上述限制适用于不受监督和受监督的设备。
- 如果不受监督的 iOS 13+ 设备在 XenMobile Server 中注册,则上述限制仅适用于受监督的设备。
- 如果受监督的 iOS 13+ 设备在 XenMobile Server 中注册,则上述限制仅适用于受监督的设备。
iOS 13 和 macOS 15 中受信任证书的要求
Apple 对 TLS 服务器证书提出了新的要求。请验证所有证书是否符合新的 Apple 要求。请参阅 Apple 发布的内容:https://support.apple.com/en-us/HT210176。有关管理证书的帮助,请参阅在 XenMobile 中上载证书。
从 GCM 升级到 FCM
自 2018 年 4 月 10 日起,Google 弃用了 Google Cloud Messaging (GCM)。Google 于 2019 年 5 月 29 日移除了 GCM 服务器和客户端 API。
重要要求:
- 升级到最新版本的 XenMobile Server。
- 升级到最新版本的 Secure Hub。
Google 建议立即升级到 Firebase Cloud Messaging (FCM),以开始利用 FCM 中提供的新功能。有关 Google 的信息,请参阅 https://developers.google.com/cloud-messaging/faq 和 https://firebase.googleblog.com/2018/04/time-to-upgrade-from-gcm-to-fcm.html。
要继续支持向您的 Android 设备发送推送通知:如果您将 GCM 与 XenMobile Server 结合使用,请迁移到 FCM。然后,使用 Firebase Cloud Messaging 控制台中提供的新 FCM 密钥更新 XenMobile Server。
以下步骤反映了使用受信任证书时的注册工作流。
升级步骤
- 按照 Google 提供的信息从 GCM 升级到 FCM。
- 在 Firebase Cloud Messaging 控制台中,复制您的新 FCM 密钥。下一步需要此密钥。
- 在 XenMobile Server 控制台中,转至“设置”>“Firebase Cloud Messaging”并配置您的设置。
设备下次与 XenMobile Server 签入并执行策略刷新时,将切换到 FCM。要强制 Secure Hub 刷新策略:在 Secure Hub 中,转至“首选项”>“设备信息”,然后轻按“刷新策略”。有关配置 FCM 的详细信息,请参阅 Firebase Cloud Messaging。
升级到 XenMobile 10.11(本地部署)之前
某些系统要求已更改。有关信息,请参阅系统要求和兼容性和 XenMobile 兼容性。
-
在更新到最新版本的 XenMobile Server 10.11 之前,请将您的 Citrix License Server 更新到 11.15 或更高版本。
最新版本的 XenMobile 需要 Citrix License Server 11.15(最低版本)。
注意:
如果您想将自己的许可证用于预览版,请注意 XenMobile 10.11 中的 Customer Success Services 日期(以前称为 Subscription Advantage 日期)为 2019 年 4 月 9 日。您的 Citrix 许可证上的 Customer Success Services 日期必须晚于此日期。
您可以在 License Server 中查看许可证旁边的日期。如果将最新版本的 XenMobile 连接到较旧的 License Server 环境,则连接检查将失败,并且您无法配置 License Server。
要续订许可证上的日期,请从 Citrix Portal 下载最新的许可证文件,然后将该文件上载到 Licensing Server。有关详细信息,请参阅 Customer Success Services。
-
对于群集环境:向运行 iOS 11 及更高版本的设备部署 iOS 策略和应用程序具有以下要求。如果 Citrix Gateway 配置为 SSL 持久性,则必须在所有 XenMobile Server 节点上打开端口 80。
-
如果运行要升级的 XenMobile Server 的虚拟机 RAM 小于 4 GB,请将 RAM 增加到至少 4 GB。请记住,生产环境的建议最低 RAM 为 8 GB。
-
建议:在安装 XenMobile 更新之前,请使用 VM 中的功能为您的系统创建快照。此外,请备份您的系统配置数据库。如果在升级期间遇到问题,完整的备份可帮助您恢复。
升级
您可以从 XenMobile 10.10.x 或 10.9.x 直接升级到 XenMobile 10.11。要执行升级,请下载可用的最新二进制文件:转至 https://www.citrix.com/downloads。导航到“Citrix Endpoint Management(和 Citrix XenMobile Server)”>“XenMobile Server(本地部署)”>“产品软件”>“XenMobile Server 10”。在适用于您的虚拟机管理程序的 XenMobile Server 软件磁贴上,单击“下载文件”。
要上载升级,请使用 XenMobile 控制台中的“版本管理”页面。有关详细信息,请参阅使用“版本管理”页面进行升级。
升级后
升级到 XenMobile 10.11(本地部署)后:
如果涉及出站连接的功能停止工作,并且您未更改连接配置,请检查 XenMobile Server 日志中是否存在以下错误:“无法连接到 VPP 服务器:主机名 ‘192.0.2.0’ 与对等方提供的证书主题不匹配”。
证书验证错误表示您需要在 XenMobile Server 上禁用主机名验证。默认情况下,除 Microsoft PKI 服务器外,出站连接上均启用主机名验证。如果主机名验证中断了您的部署,请将服务器属性 disable.hostname.verification 更改为 true。此属性的默认值为 false。
适用于 Android Enterprise 设备的全新和更新设备策略设置
Samsung Knox 和 Android Enterprise 策略统一。 对于运行 Samsung Knox 3.0 或更高版本以及 Android 8.0 或更高版本的 Android Enterprise 设备:Knox 和 Android Enterprise 已合并为一个统一的设备和配置文件管理解决方案。 在以下设备策略的 Android Enterprise 页面上配置 Knox 设置:
- 操作系统更新设备策略。 包括 Samsung Enterprise FOTA 更新的设置。
- 密码设备策略。
- Samsung MDM 许可证密钥设备策略。 配置 Knox 许可证密钥。
- 限制设备策略设置。
适用于 Android Enterprise 的应用程序清单设备策略。 您现在可以收集托管设备上 Android Enterprise 应用程序的清单。请参阅应用程序清单设备策略。
在托管 Google Play 商店中访问所有 Google Play 应用程序。 “在托管 Google Play 商店中访问所有应用程序”服务器属性使公共 Google Play 商店中的所有应用程序都可以从托管 Google Play 商店访问。将此属性设置为 true 允许所有 Android Enterprise 用户使用公共 Google Play 商店应用程序。管理员随后可以使用限制设备策略来控制对这些应用程序的访问。
在 Android Enterprise 设备上启用系统应用程序。 要允许用户在 Android Enterprise 工作配置文件模式或完全托管模式下运行预安装的系统应用程序,请配置限制设备策略。该配置授予用户访问默认设备应用程序的权限,例如相机、图库等。要限制对特定应用程序的访问,请使用Android Enterprise 应用程序权限设备策略设置应用程序权限。
支持 Android Enterprise 专用设备。 XenMobile 现在支持专用设备的管理,这些设备以前称为企业拥有单用途 (COSU) 设备。
专用 Android Enterprise 设备是完全托管的设备,专门用于实现单个用例。您可以将这些设备限制为单个应用程序或一小组应用程序,以完成此用例所需的任务。您还可以阻止用户启用其他应用程序或在设备上执行其他操作。
有关预配 Android Enterprise 设备的信息,请参阅预配专用 Android Enterprise 设备。
策略已重命名。 为与 Google 术语保持一致,Android Enterprise 应用程序限制设备策略现已更名为托管配置设备策略。请参阅托管配置设备策略。
锁定和重置 Android Enterprise 的密码
XenMobile 现在支持针对 Android Enterprise 设备执行“锁定和重置密码”安全操作。这些设备必须在运行 Android 8.0 及更高版本的工作配置文件模式下注册。
- 发送的密码会锁定工作配置文件。设备不会被锁定。
- 如果未发送密码或发送的密码不符合密码要求:
- 并且工作配置文件上未设置密码,则设备将被锁定。
- 并且工作配置文件上已设置密码。工作配置文件将被锁定,但设备不会被锁定。
有关锁定和重置密码安全操作的更多信息,请参阅安全操作。
适用于 iOS 或 macOS 的新限制设备策略设置
- 非托管应用程序读取托管联系人: 可选。仅当“非托管应用程序中的托管应用程序文档”被禁用时可用。如果启用此策略,非托管应用程序可以读取托管帐户联系人中的数据。默认值为“关”。从 iOS 12 开始可用。
- 托管应用程序写入非托管联系人: 可选。如果启用,允许托管应用程序将联系人写入非托管帐户联系人。如果“非托管应用程序中的托管应用程序文档”被启用,则此限制无效。默认值为“关”。从 iOS 12 开始可用。
- 密码自动填充: 可选。如果禁用,用户无法使用“自动填充密码”或“自动强密码”功能。默认值为“开”。从 iOS 12 和 macOS 10.14 开始可用。
- 密码邻近请求: 可选。如果禁用,用户的设备不会从附近的设备请求密码。默认值为“开”。从 iOS 12 和 macOS 10.14 开始可用。
- 密码共享: 可选。如果禁用,用户无法使用 AirDrop 密码功能共享其密码。默认值为“开”。从 iOS 12 和 macOS 10.14 开始可用。
- 强制自动日期和时间: 受监督。如果启用,用户无法禁用“通用 > 日期与时间 > 自动设置”选项。默认值为“关”。从 iOS 12 开始可用。
- 允许 USB 受限模式: 仅适用于受监督的设备。如果设置为“关”,设备在锁定时始终可以连接到 USB 配件。默认值为“开”。从 iOS 11.3 开始可用。
- 强制延迟软件更新: 仅适用于受监督的设备。如果设置为“开”,则会延迟用户对软件更新的可见性。启用此限制后,用户在软件更新发布日期后的指定天数内将不会看到软件更新。默认值为“关”。从 iOS 11.3 和 macOS 10.13.4 开始可用。
- 强制软件更新延迟(天): 仅适用于受监督的设备。此限制允许管理员设置在设备上延迟软件更新的时间。最大值为 90 天,默认值为 30。从 iOS 11.3 和 macOS 10.13.4 开始可用。
- 强制课堂请求离开课程的权限: 仅适用于受监督的设备。如果设置为“开”,则在 Classroom 中注册非托管课程的学生在尝试离开课程时必须向教师请求权限。默认值为“关”。从 iOS 11.3 开始可用。
请参阅限制设备策略。
适用于 iOS 或 macOS 的 Exchange 设备策略更新
自 iOS 12 起提供更多 S/MIME Exchange 签名和加密设置。 Exchange 设备策略现在包括用于配置 S/MIME 签名和加密的设置。
对于 S/MIME 签名:
- 签名身份凭据: 选择要使用的签名凭据。
- S/MIME 签名用户可覆盖: 如果设置为“开”,用户可以在其设备设置中打开和关闭 S/MIME 签名。默认值为“关”。
- S/MIME 签名证书 UUID 用户可覆盖: 如果设置为“开”,用户可以在其设备设置中选择要使用的签名凭据。默认值为“关”。
对于 S/MIME 加密:
- 加密身份凭据: 选择要使用的加密凭据。
- 启用每条消息 S/MIME 开关: 当设置为“开”时,会向用户显示一个选项,用于打开或关闭他们撰写的每条消息的 S/MIME 加密。默认值为“关”。
- S/MIME 默认加密用户可覆盖: 如果设置为“开”,用户可以在其设备设置中选择 S/MIME 是否默认开启。默认值为“关”。
- S/MIME 加密证书 UUID 用户可覆盖: 如果设置为“开”,用户可以在其设备设置中打开和关闭 S/MIME 加密身份和加密。默认值为“关”。
自 iOS 12 起提供 Exchange OAuth 设置。 您现在可以配置与 Exchange 的连接以使用 OAuth 进行身份验证。
自 macOS 10.14 起提供 Exchange OAuth 设置。 您现在可以配置与 Exchange 的连接以使用 OAuth 进行身份验证。对于使用 OAuth 进行身份验证,您可以为不使用 AutoDiscovery 的设置指定登录 URL。
请参阅Exchange 设备策略。
适用于 iOS 的邮件设备策略更新
自 iOS 12 起提供更多 S/MIME Exchange 签名和加密设置。 邮件设备策略包括更多用于配置 S/MIME 签名和加密的设置。
对于 S/MIME 签名:
-
启用 S/MIME 签名: 选择此帐户是否支持 S/MIME 签名。默认值为“开”。当设置为“开”时,将显示以下字段。
- S/MIME 签名用户可覆盖: 如果设置为“开”,用户可以在其设备设置中打开和关闭 S/MIME 签名。默认值为“关”。此选项适用于 iOS 12.0 及更高版本。
- S/MIME 签名证书 UUID 用户可覆盖: 如果设置为“开”,用户可以在其设备设置中选择要使用的签名凭据。默认值为“关”。此选项适用于 iOS 12.0 及更高版本。
对于 S/MIME 加密:
-
启用 S/MIME 加密: 选择此帐户是否支持 S/MIME 加密。默认值为“关”。当设置为“开”时,将显示以下字段。
- 启用每条消息 S/MIME 开关: 当设置为“开”时,会向用户显示一个选项,用于打开或关闭他们撰写的每条消息的 S/MIME 加密。默认值为“关”。
- S/MIME 默认加密用户可覆盖: 如果设置为“开”,用户可以在其设备设置中选择 S/MIME 是否默认开启。默认值为“关”。此选项适用于 iOS 12.0 及更高版本。
- S/MIME 加密证书 UUID 用户可覆盖: 如果设置为“开”,用户可以在其设备设置中打开和关闭 S/MIME 加密身份和加密。默认值为“关”。此选项适用于 iOS 12.0 及更高版本。
请参阅邮件设备策略。
适用于 iOS 的应用程序通知设备策略更新
以下应用程序通知设置从 iOS 12 开始可用。
- 在 CarPlay 中显示: 如果设置为“开”,通知将在 Apple CarPlay 中显示。默认值为“开”。
- 启用紧急警报: 如果设置为“开”,应用程序可以将通知标记为紧急通知,该通知会忽略“勿扰”和铃声设置。默认值为“关”。
请参阅应用程序通知设备策略
支持与 Apple Education 配合使用的共享 iPad
XenMobile 与 Apple Education 功能的集成现在支持共享 iPad。课堂中的多名学生可以共享一台 iPad,用于一位或多位教师教授的不同科目。
您或教师可以注册共享 iPad,然后将设备策略、应用程序和媒体部署到设备。之后,学生提供其托管 Apple ID 凭据以登录共享 iPad。如果您之前已向学生部署了教育配置策略,他们将不再以“其他用户”身份登录以共享设备。
共享 iPad 的先决条件:
- 任何 iPad Pro、iPad 第 5 代、iPad Air 2 或更高版本以及 iPad mini 4 或更高版本
- 至少 32 GB 存储空间
- 受监督
有关更多信息,请参阅配置共享 iPad。
基于角色的访问控制 (RBAC) 权限更改
RBAC 权限“添加/删除本地用户”现已拆分为两个权限:“添加本地用户”和“删除本地用户”。
有关更多信息,请参阅使用 RBAC 配置角色。
在本文中
- Apple Volume Purchase Program 迁移到 Apple Business Manager (ABM) 和 Apple School Manager (ASM)
- 对 iOS 13 的其他支持
- iOS 13 和 macOS 15 中受信任证书的要求
- 从 GCM 升级到 FCM
- 升级到 XenMobile 10.11(本地部署)之前
- 升级
- 升级后
- 适用于 Android Enterprise 设备的全新和更新设备策略设置
- 锁定和重置 Android Enterprise 的密码
- 适用于 iOS 或 macOS 的新限制设备策略设置
- 适用于 iOS 或 macOS 的 Exchange 设备策略更新
- 适用于 iOS 的邮件设备策略更新
- 适用于 iOS 的应用程序通知设备策略更新
- 支持与 Apple Education 配合使用的共享 iPad
- 基于角色的访问控制 (RBAC) 权限更改