Product Documentation

Verwaltung und Bereitstellung von XenMobile Apps

May 10, 2018

In diesem Artikel finden Sie eine Übersicht über die Verwaltung und Bereitstellung von Apps in XenMobile.

Voraussetzungen für die Verwaltung von Feature-Flags

Wenn in einer Produktionsumgebung ein Problem mit Secure Hub oder Secure Mail auftritt, kann das betroffene Feature im App-Code deaktiviert werden. Hierfür verwenden wir Feature-Flags und den Drittanbieterdienst "Launch Darkly". Sie müssen die Aktivierung des Datenverkehrs über Launch Darkly nur dann konfigurieren, wenn Sie den ausgehenden Datenverkehr durch eine Firewall oder einen Proxyserver blockieren. In diesem Fall aktivieren Sie den Datenverkehr über Launch Darkly Ihren Richtlinienanforderungen entsprechend über bestimmte URLs oder IP-Adressen. Weitere Informationen zum Ausschluss von Domänen vom Tunneling, der in MDX ab XenMobile Apps 10.6.15 unterstützt wird, finden Sie in der Dokumentation zum MDX Toolkit.Antworten auf häufig gestellte Fragen (FAQs) zu Featureflags und Launch Darkly finden Sie in diesem Artikel im Support Knowledge Center.

Hinweis: End of Life von Enterprise XenMobile Apps war der 31. Dezember 2017.
 

Öffentliche Store-Apps müssen zur ersten Bereitstellung neu installiert werden. Ein Upgrade einer umschlossenen Unternehmensapp auf eine öffentliche Store-App ist nicht möglich.

Bei der Bereitstellung in öffentlichen App-Stores brauchen Sie von Citrix entwickelte Apps nicht zu signieren und mit dem MDX Toolkit zu umschließen. Dadurch wird die Bereitstellung von Apps erheblich rationalisiert. Sie können Unternehmensapps und Apps von Drittanbietern mit dem MDX Toolkit umschließen. 

Systemanforderungen

  • XenMobile 10.5 oder höher.
  • Stellen Sie sicher, dass die Apps mit den folgenden Diensten kommunizieren können, wenn Sie auf NetScaler Split-Tunneling auf OFF festgelegt haben:

Unterstützte App-Stores

XenMobile Apps sind im Apple App Store und Google Play verfügbar. Informationen zum Sichern und Bereitstellen der nativen Produktivitätsapps auf Windows-Geräten finden Sie unter Geräterichtlinie für Windows Information Protection

In China ist Google Play nicht verfügbar, Secure Hub für Android ist jedoch in den folgenden App-Stores verfügbar:

Aktivieren der Verteilung über öffentliche App-Stores

  1. Laden Sie die Datei public-store.mdx je für iOS und Android von der XenMobile-Downloadseite herunter.
  2. Laden Sie die MDX-Dateien in die XenMobile-Konsole hoch. Die Versionen für öffentliche Stores von XenMobile Apps werden weiterhin als MDX-Apps hochgeladen. Laden Sie die Apps nicht als öffentliche Store-Apps auf den Server hoch. Weitere Informationen zu dem Verfahren finden Sie unter Hinzufügen von Apps.
  3. Ändern Sie die Standardwerte von Richtlinien gemäß Ihren Sicherheitsvorgaben (optional).
  4. Stellen Sie die Apps per Push als erforderlich bereit (optional). Für diesen Schritt muss Ihre Umgebung für die Mobilgeräteverwaltung aktiviert sein. 
  5. Installieren Sie Apps auf Geräten aus dem App-Store, Google Play oder dem XenMobile Store.
    • Benutzer von Android-Geräten werden zum Installieren der App an den Play Store weitergeleitet. Auf iOS-Geräten wird die App in Bereitstellungen mit MDM installiert. ohne dass Benutzer zum App Store wechseln. 
    • Wenn eine App aus dem App-Store oder Play-Store installiert wird, wird sie zur verwalteten App, sofern die zugehörige MDX-Datei auf den Server hochgeladen wurde. Beim Wechsel zur verwalteten App wird die Eingabe einer Citrix-PIN angefordert. Wenn Benutzer die Citrix-PIN eingeben, wird von Secure Mail der Bildschirm zur Kontokonfiguration angezeigt.
  6. Apps sind nur zugänglich, wenn der Benutzer bei Secure Hub registriert und die entsprechende MDX-Datei auf dem Server ist. Ist eine dieser beiden Bedingungen nicht erfüllt, kann der Benutzer die App zwar installieren, sie ist dann jedoch gesperrt.

Wenn Sie bereits Apps aus dem Citrix Ready Marketplace in öffentlichen App-Stores verwenden, kennen Sie das Bereitstellungsverfahren schon. Die Funktionsweise von XenMobile Apps ist mit dem Ansatz vieler unabhängiger Softwarehersteller identisch. Betten Sie das MDX SDK in die App ein, um die App für den öffentlichen Store vorzubereiten. 

Hinweis

Die Versionen der ShareFile-Apps für iOS und Android, die in öffentlichen Stores verfügbar sind, sind jetzt universell. Die ShareFile-App ist dieselbe für Mobiltelefone und Tablets. 

Apple-Pushbenachrichtigungen

Weitere Informationen zum Konfigurieren von Pushbenachrichtigungen finden Sie unter Konfigurieren von Secure Mail für Pushbenachrichtigungen.

Häufig gestellte Fragen (FAQs) zum öffentlichen App-Store

1. Kann ich mehrere Exemplare öffentlicher Apps für verschiedene Benutzergruppen bereitstellen? Beispiel: Ich möchte unterschiedliche Richtlinien für verschiedene Benutzergruppen bereitstellen.

Sie müssen eine eigene MDX-Datei für jede Benutzergruppe hochladen. Allerdings darf in diesem Fall ein einzelner Benutzer nicht mehreren Gruppen angehören. Gehörte ein einzelner Benutzer mehreren Gruppen an, würden ihm mehrere Exemplare derselben App zugewiesen. Es können nicht mehrere Exemplare einer öffentlichen Store-App auf demselben Gerät bereitgestellt werden, da die App-ID nicht geändert werden kann.

2. Kann ich öffentliche Store-Apps per Push als erforderliche Apps installieren?

Ja. Die Pushinstallation erfordert MDM, im Nur-MAM-Modus wird sie nicht unterstützt.

3. Muss ich Datenverkehrsrichtlinien oder Exchange Server-Regeln, die auf dem Benutzeragent basieren, aktualisieren?

Zeichenfolgen für alle benutzeragentbasierten Richtlinien und Regeln nach Plattform:

Android

App Server User-agent string

Citrix Secure Mail

Exchange

WorxMail

Lotus Notes Traveler

Apple - iPhone WorxMail

Citrix Secure Web

-

WorxMail

Citrix Secure Tasks

Exchange

WorxMail

Citrix Secure Notes

Exchange

WorxMail

ShareFile

Secure Notes

iOS

App Server User-agent string

Citrix Secure Mail

Exchange

WorxMail

Lotus Notes Traveler

Apple - iPhone WorxMail

Citrix Secure Web

-

com.citrix.browser

Citrix Secure Tasks

Exchange

WorxTasks

Citrix Secure Notes

Exchange

WorxNotes

ShareFile

Secure Notes

4. Kann ich App-Updates verhindern?

Nein. Wenn ein Update im öffentlichen App-Store bereitgestellt wird, erhalten alle Benutzer, die automatische Updates aktiviert haben, das Update.

5. Kann ich App-Updates erzwingen?

Ja, Updates werden über die Update-Kulanzzeitraumrichtlinie erzwungen. Diese Richtlinie wird festgelegt, wenn die neue MDX-Datei für die aktualisierte App-Version auf den XenMobile-Server hochgeladen wird.

6. Wie kann ich Apps testen, bevor die Benutzer sie erhalten, wenn ich keine Kontrolle über die Update-Zeitachse habe?

Ähnlich wie bei Secure Hub stehen Apps während des EAR-Zeitraums (Early Adopter Release) zum Testen auf TestFlight für iOS zur Verfügung. Android-Apps stehen während des EAR-Zeitraums über das Google Play-Betaprogramm zur Verfügung. In diesem Zeitraum können Sie App-Updates testen.

7. Was passiert, wenn ich die neue MDX-Datei nicht aktualisiere, bevor ein automatisches Update auf die Benutzergeräte gelangt?

Die aktualisierte App funktioniert weiterhin mit der älteren MDX-Datei. Neue Features, die von einer neuen Richtlinie abhängen, werden nicht aktiviert.

8. Wird die App zur verwalteten App, wenn Secure Hub installiert wird, oder muss sie neu registriert werden?

Benutzer müssen bei Secure Hub registriert sein, damit eine öffentliche Store-App als verwaltete (mit MDX geschützte) App aktiviert wird und verwendet werden kann. Wenn Secure Hub installiert ist aber keine Registrierung vorliegt, können die Benutzer die öffentliche Store-App nicht verwenden.

9. Benötige ich ein Apple Enterprise Developer-Konto für öffentliche Store-Apps?

Nein. Da jetzt Citrix die Zertifikate und Provisioningprofile für XenMobile Apps pflegt, ist zur Bereitstellung der Apps kein Apple Enterprise Developer-Konto erforderlich.

10. Gilt das Ende der Unternehmensverteilung für umschlossene Apps, die ich schon bereitgestellt habe?

Nein, es gilt nur für die XenMobile Produktivitätsapps: Secure Mail, Secure Web, Secure Notes, Secure Tasks, ShareFile für XenMobile, ScanDirect für XenMobile, QuickEdit für XenMobile und ShareConnect für XenMobile. Alle anderen umschlossenen Unternehmensapps (interne oder von Drittanbietern), die Sie bereitgestellt haben, können weiterhin umschlossen verwendet werden. Das MDX Toolkit unterstützt weiterhin das Umschließen durch App-Entwickler.

11. Beim Installieren einer App aus Google Play wird ein Android-Fehler mit dem Fehlercode 505 angezeigt.

Dies ist ein bekanntes Problem bei Google Play und Android 5.x-Versionen. Wenn dieser Fehler auftritt, können Sie veraltete Daten auf dem Gerät, die die Installation der App verhindern, wie folgt löschen:

1. Starten Sie das Gerät neu.

2. Leeren Sie den Cache und löschen Sie die Daten für Google Play über die Geräteeinstellungen.

3. Entfernen Sie als letzten Ausweg das Google-Konto vom Gerät und fügen Sie es wieder hinzu.

Weitere Informationen finden Sie in diesem Blog.

12. Wenn eine App in Google Play zur Produktion freigegeben wurde und es keine neue Betaversion gibt, warum wird neben dem App-Namen in Google Play immer noch Beta angezeigt?

Wenn Sie an unserem Early Access Release-Programm teilnehmen, wird neben dem App-Namen immer "Beta" angezeigt. Der Name weist die Benutzer auf ihre Zugriffsebene für eine bestimmte App hin. Der Zusatz "Beta" bedeutet, dass Benutzer die aktuelle Version der App erhalten. Die aktuelle Version kann eine Produktionsversion oder eine Betaversion sein.

13. Nach der Installation und dem Öffnen der App wird "App nicht autorisiert" gemeldet, selbst wenn die MDX-Datei auf dem XenMobile-Server ist.

Dieser Fall kann eintreten, wenn der Benutzer die App direkt aus dem App-Store oder aus Google Play installiert und Secure Hub noch nicht aktualisiert hat. Secure Hub muss aktualisiert werden, wenn der Inaktivitätstimer abgelaufen ist. Richtlinien werden aktualisiert, wenn die Benutzer Secure Hub öffnen und sich erneut authentifizieren. Die App wird autorisiert, wenn die Benutzer sie das nächste Mal öffnen.

14. Benötige ich einen Zugangscode zum Verwenden von Apps? Ich werde zur Eingabe eines Zugangscodes beim Installieren einer App aus dem App Store oder Google Play aufgefordert.

Wenn Sie eine Aufforderung zur Codeeingabe sehen, sind Sie nicht bei XenMobile über Secure Hub registriert. Registrieren Sie sich bei Secure Hub und vergewissern Sie sich, dass die MDX-Datei der App auf dem Server bereitgestellt wurde.Stellen Sie zudem sicher, dass die App verwendet werden kann. Der Zugangscode dient nur zur Citrix-internen Verwendung. Apps erfordern eine XenMobile-Bereitstellung zur Aktivierung.

15. Kann ich iOS-Apps aus dem öffentlichen Store über VPP oder DEP bereitstellen?

XenMobile Server ist für die Verteilung öffentlicher, nicht MDX-aktivierter Store-Apps per VPP optimiert. Sie können zwar öffentliche XenMobile-Store-Apps über VPP verteilen, doch ist die Bereitstellung so lange nicht optimal, bis Citrix weitere Verbesserungen an XenMobile Server und dem Secure Hub-Store zur Beseitigung von Einschränkungen vorgenommen hat. Eine Liste der bekannten Probleme bei der Bereitstellung öffentlicher XenMobile-Store-Apps über VPP und möglicher Workarounds finden Sie im Citrix Knowledge Center.

MDX-Richtlinien für XenMobile Apps

Mit den MDX-Richtlinien können Sie Einstellungen konfigurieren, die von XenMobile Server durchgesetzt werden. Die Richtlinien sind für Authentifizierung, Gerätesicherheit, Netzwerkanforderungen und -zugriff, Verschlüsselung, App-Interaktion, App-Einschränkungen usw. Viele MDX-Richtlinien gelten für alle XenMobile Apps, während einige Richtlinien App-spezifisch sind.

Richtliniendateien werden als MDX-Dateien für die öffentlichen Storeversionen der XenMobile Apps bereitgestellt. Sie können außerdem Richtlinien in der XenMobile-Konsole konfigurieren, wenn Sie eine App hinzufügen.

In den folgenden Abschnitten werden die mit den Benutzerverbindungen verbundenen MDX-Richtlinien erläutert. Einzelheiten zu App-spezifischen Richtlinien finden Sie in den Artikeln zu den einzelnen XenMobile Apps. Eine vollständige Liste der Richtlinien einschließlich Beschreibungen finden Sie im Artikel MDX-Richtlinien und den zugehörigen Unterartikeln.

Benutzerverbindungen mit dem internen Netzwerk

Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können eine Variante eines clientlosen VPNs (Secure Browse) verwenden. Dieses Verhalten wird von der Richtlinie "Bevorzugter VPN-Modus" gesteuert. Standardmäßig verwenden Verbindungen "Secure Browse", und diese Einstellung wird für Verbindungen empfohlen, die Single Sign-On erfordern. Die Einstellung eines vollständigen VPN-Tunnels wird für Verbindungen empfohlen, die Clientzertifikate oder End-to-End-SSL für Ressourcen im internen Netzwerk einsetzen. Darüber hinaus unterstützt diese Einstellung beliebige Protokolle über TCP und kann mit Windows- und Mac-Computern sowie iOS- und Android-Geräten verwendet werden.

Secure Web für iOS und Android unterstützt die Verwendung einer PAC-Datei (Proxy Automatic Configuration) mit einer vollständigen VPN-Tunnel-Bereitstellung, wenn Sie NetScaler für die Proxyauthentifizierung verwenden. Weitere Informationen finden Sie unter Konfigurieren von Benutzerverbindungen.

Die Richtlinie "VPN-Moduswechsel zulassen" ermöglicht nach Bedarf das automatische Wechseln zwischen den Modi "Vollständiger VPN-Tunnel" und "Secure Browse". Standardmäßig ist diese Richtlinie deaktiviert. Wenn die Richtlinie aktiviert ist, werden Netzwerkanfragen, die fehlschlagen, weil eine Authentifizierungsanfrage nicht im bevorzugten VPN-Modus verarbeitet werden konnte, in dem anderen Modus erneut versucht. Beispielsweise können Serveraufforderungen für Clientzertifikate im vollständigen VPN-Tunnel-Modus erfüllt werden, aber nicht im Secure Browse-Modus. Ähnlich werden HTTP-Authentifizierungsaufforderungen mit SSO eher bedient, wenn "Secure Browse" verwendet wird.

Netzwerkzugangseinschränkungen

Mit der Richtlinie "Netzwerkzugriff" kann der Netzwerkzugriff eingeschränkt werden. Standardmäßig ist der Zugriff auf Secure Mail und Secure Notes nicht beschränkt, d. h. es gelten keine Einschränkungen für den Netzwerkzugriff. Apps haben unbeschränkten Zugriff auf Netzwerke, mit denen das Gerät verbunden ist. Für den Zugriff auf Secure Web ist standardmäßig ein Tunnel zum internen Netzwerk erforderlich, daher wird pro Anwendung ein VPN-Tunnel zum internen Netzwerk für den gesamten Netzwerkzugriff zusammen mit NetScaler Split-Tunnel-Einstellungen verwendet. Sie können den Zugriff blockieren, sodass die App sich verhält, als hätte das Gerät keine Netzwerkverbindung.

Blockieren Sie nicht die Richtlinie "Netzwerkzugriff", wenn Sie Features wie AirPrint, iCloud sowie Facebook- und Twitter-APIs zulassen.

Die Richtlinie "Netzwerkzugriff" interagiert auch mit der Richtlinie "Hintergrundnetzwerkdienste". Weitere Informationen finden Sie unter Integration von Exchange Server oder IBM Notes Traveler-Server.

XenMobile-Clienteigenschaften

Clienteigenschaften enthalten Informationen, die direkt in Secure Hub auf den Geräten der Benutzer bereitgestellt werden. Clienteigenschaften befinden sich in der XenMobile-Konsole unter Einstellungen > Client > Clienteigenschaften.

Mit Clienteigenschaften werden Einstellungen wie die Folgenden konfiguriert:

Benutzerkennwortcaching

Die Clienteigenschaft "Benutzerkennwortcaching" ermöglicht die lokale Zwischenspeicherung des Active Directory-Kennworts auf dem Mobilgerät. Wenn Sie "Benutzerkennwortcaching" aktivieren, werden die Benutzer aufgefordert, eine Citrix-PIN oder einen Passcode festzulegen.

Inaktivitätstimer

Der Inaktivitätstimer definiert die Dauer (in Minuten), die ein Gerät inaktiv sein darf, bevor Benutzer für den Zugriff auf eine App zur Eingabe der Citrix-PIN bzw. des Passcodes aufgefordert werden. Zum Aktivieren dieser Einstellung für eine MDX-App müssen Sie die Richtlinie "App-Passcode" aufEin festlegen. Wenn die Richtlinie "App-Passcode" auf Aus festgelegt ist, werden Benutzer für eine vollständige Authentifizierung an Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, tritt der neue Wert erst in Kraft, wenn ein Benutzer das nächste Mal zur Authentifizierung aufgefordert wird.

Authentifizierung mit Citrix-PIN

Die Citrix-PIN vereinfacht die Benutzerauthentifizierung. Mit der PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden. Wenn Sie PIN-Einstellungen konfigurieren, melden sich Benutzer wie folgt an:

1. Wenn Benutzer Secure Hub zum ersten Mal starten, werden sie zur Eingabe einer PIN aufgefordert, die die Active Directory-Anmeldeinformationen zwischenspeichert.

2. Beim nachfolgenden Start einer XenMobile-App geben Benutzer nur die PIN ein und melden sich an.

Verwenden Sie die Clienteigenschaften zum Aktivieren der Authentifizierung durch die PIN, zum Angeben des PIN-Typs, der PIN-Stärke und -Länge sowie zum Ändern der Anforderungen.

Authentifizierung per Fingerabdruck

Die Authentifizierung per Fingerabdruck ist eine Alternative zur Citrix-PIN, wenn für umschlossene Apps (außer Secure Hub) eine Offlineauthentifizierung, etwa nach Ablaufen des Inaktivitätstimers, erforderlich ist. Sie können dieses Feature für die folgenden Authentifizierungskonfigurationen aktivieren:

Citrix-PIN + Clientzertifikat
Citrix-PIN + zwischengespeichertes Active Directory-Kennwort
Citrix-PIN + Clientzertifikat + zwischengespeichertes Active Directory-Kennwort
Citrix-PIN ist deaktiviert

Schlägt die Authentifizierung per Fingerabdruck fehl oder bricht der Benutzer die Authentifizierung per Fingerabdruck ab, wird für umschlossene Apps auf die Authentifizierung per Citrix-PIN oder Active Directory-Kennwort zurückgegriffen.

Anforderungen für die Authentifizierung per Fingerabdruck:

- iOS-Geräte (Mindestversion 8.1), die die Authentifizierung per Fingerabdruck unterstützen und auf denen mindestens ein Fingerabdruck konfiguriert ist.

- Benutzerentropie muss deaktiviert sein.

Konfigurieren der Authentifizierung per Fingerabdruck

Wichtig: Bei aktivierter Benutzerentropie wird die Eigenschaft zur Aktivierung der Touch ID-Authentifizierung ignoriert. Die Benutzerentropie wird über den Schlüssel "Encrypt secrets using Passcode" aktiviert.

1. Navigieren Sie in der XenMobile-Konsole zu Einstellungen > Client > Clienteigenschaften.

2. Klicken Sie auf Hinzufügen.

localized image

3. Fügen Sie den Schlüssel ENABLE_TOUCH_ID_AUTH hinzu, legen Sie denWert auf True fest und denNamen der Richtlinie auf Authentifizierung per Fingerabdruck aktivieren.