Neue Features in XenMobile Server 10.7

XenMobile Server 10.7 (PDF-Download)

Hinweis:

TouchDown von Symantec hat am 3. Juli 2017 das Ende des Lebenszyklus erreicht, der Support wird in aller Form am 2. Juli 2018 eingestellt. Weitere Informationen finden Sie in dem Artikel des Symantec-Supports TouchDown End-of-Life, End-of-Availability, and End-of-Support announcement.

Weitere Informationen finden Sie unter Upgrade. Verwenden Sie für den Zugriff auf die XenMobile-Verwaltungskonsole nur den vollqualifizierten Domänennamen von XenMobile Server oder die IP-Adressen des Knotens.

Wichtig:

Nach Upgrade auf XenMobile 10.7

Wenn Funktionen, für die ausgehende Verbindungen eingesetzt werden, nicht mehr funktionieren und Sie die Verbindungskonfiguration nicht geändert haben, überprüfen Sie das XenMobile Server-Protokoll auf Fehlermeldungen wie etwa “Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer.”

Wird ein Fehler bei der Zertifikatvalidierung gemeldet, deaktivieren Sie die Hostnamenüberprüfung unter XenMobile Server. In der Standardeinstellung ist die Hostnamenüberprüfung für ausgehende Verbindungen mit Ausnahme des Microsoft PKI-Servers aktiviert. Wenn die Hostnamenüberprüfung Fehler in der Bereitstellung verursacht, ändern Sie die Servereigenschaft disable.hostname.verification in True. Der Standardwert dieser Eigenschaft ist false.

Informationen zu Fehlerkorrekturen finden Sie unter Behobene Probleme.

Integration von Apple Bildung-Features

Sie können XenMobile Server für die Mobilgeräteverwaltung (MDM) in einer Umgebung mit Apple Bildung verwenden. XenMobile unterstützt die in iOS 9.3 eingeführten Erweiterungen von Apple Bildung, einschließlich Apple School Manager und die Classroom-App für iPad. Mit der neuen XenMobile-Richtlinie “Bildung - Konfiguration” können die Geräte von Lehrkräften und Lernenden zur Verwendung der Apple-Bildungprodukte konfiguriert werden.

Das folgende Video bietet eine kurze Einführung in die Änderungen, die Sie an Apple School Manager und XenMobile Server vornehmen.

Citrix XenMobile-Konfiguration für Apple Bildung: Integration der Features von Apple Bildung in XenMobile

Sie stellen Lehrkräften und Lernenden vorkonfigurierte und betreute iPads bereit. Die Konfiguration umfasst Folgendes:

  • Apple School Manager Registrierung per DEP bei XenMobile

  • Ein betreutes Apple-ID-Konto mit einem neuen Kennwort

  • Erforderliche VPP-Apps und iBooks

Informationen zur Integration von Apple Bildung finden Sie unter Integration von Apple Bildung-Features und Geräterichtlinie “Bildung - Konfiguration”.

Abbildung: Bildungseinrichtung - Konfiguration

Bereitstellung von iBooks auf iOS-Geräten

Sie können mit XenMobile über das Apple Volume Purchase Program (VPP) erworbene iBooks bereitstellen. Nachdem Sie ein VPP-Konto in XenMobile eingerichtet haben, werden Ihre gekauften und kostenlosen Bücher unter Konfigurieren > Medien angezeigt. Über die Seiten unter Medien konfigurieren Sie iBooks für die Bereitstellung auf iOS-Geräten, indem Sie Bereitstellungsgruppen auswählen und Bereitstellungsregeln festlegen.

Wenn ein Benutzer das erste Mal ein iBook erhält und die VPP-Lizenz akzeptiert, werden bereitgestellte Bücher auf dem Gerät installiert. Die Bücher werden in der iBook-App angezeigt. Sie können die Zuweisung zwischen Benutzer und Lizenz nicht aufheben und das Buch nicht vom Gerät entfernen. XenMobile installiert iBooks als erforderliche Medien. Wenn ein Benutzer ein installiertes iBook von seinem Gerät löscht, verbleibt es in der iBook-App und kann von dort wieder heruntergeladen werden.

Voraussetzungen

Konfigurieren von iBooks

Über das VPP erworbene iBooks werden auf der Seite Konfigurieren > Medien angezeigt. Weitere Informationen finden Sie unter Hinzufügen von Medien.

Bild der iBooks-Konfiguration

BitLocker-Geräterichtlinie

Windows 10 Enterprise enthält BitLocker, ein Feature zur Datenträgerverschlüsselung, das Dateien und System auf verlorenen oder gestohlenen Geräten vor nicht autorisiertem Zugriff schützt. Zur Erhöhung der Sicherheit können Sie BitLocker mit TPM-Chips (Trusted Platform Module) der Version 1.2 oder höher verwenden. Ein TPM-Chip handhabt kryptographische Vorgänge, generiert und speichert kryptographische Schlüssel und limitiert deren Verwendung.

Ab Windows 10 Build 1703 kann BitLocker über MDM-Richtlinien gesteuert werden. Über die BitLocker-Geräterichtlinie in XenMobile konfigurieren Sie die Einstellungen im BitLocker-Assistenten auf Windows 10-Geräten. Auf einem Gerät mit aktiviertem BitLocker kann der Benutzer beispielsweise Folgendes auswählen:

  • Art und Weise der Entsperrung seines Laufwerks beim Start

  • Art und Weise der Sicherung des Wiederherstellungsschlüssels

  • Art und Weise der Entsperrung eines Festplattenlaufwerks

Über die BitLocker-Geräterichtlinie wird außerdem vorgegeben, ob:

  • BitLocker auf Geräten ohne TPM-Chip aktiviert werden soll.

  • Wiederherstellungsoptionen auf der BitLocker-Benutzeroberfläche angezeigt werden sollen.

  • der Schreibzugriff auf Festplatten- oder Wechsellaufwerke verweigert werden soll, wenn BitLocker nicht aktiviert ist.

    Abbildung der BitLocker-Konfiguration

    Abbildung der BitLocker-Konfiguration

Weitere Informationen finden Sie unter BitLocker-Geräterichtlinie.

Neue Einschränkungen für betreute Geräte ab iOS 10.3

Über Einschränkungen können Sie verhindern, dass Benutzer bestimmte Aktionen auf ihren Geräten durchführen. Einschränkungen werden über Geräterichtlinien implementiert.

Die folgenden Einschränkungen sind jetzt für Geräte mit iOS 10.3 und höher im betreuten Modus verfügbar:

  • Diktierfunktion zulassen: nur betreute Geräte. Wenn diese Einschränkung auf AUS festgelegt ist, ist die Verwendung der Diktierfunktion nicht zulässig. Die Standardeinstellung ist EIN. Für iOS 10.3 und höher.
  • Hinzufügen von Wi-Fi zu Positivliste erzwingen: optional. Nur betreut. Wenn diese Einschränkung auf EIN festgelegt ist, kann ein Gerät nur dann auf ein Wi-Fi-Netzwerk zugreifen, wenn dieses über ein Konfigurationsprofil festgelegt wurde. Die Standardeinstellung ist AUS. Für iOS 10.3 und höher.

Festlegen der Einschränkungen

  1. Wählen Sie in der XenMobile-Konsole Konfigurieren > Geräterichtlinien. Die Seite “Geräterichtlinien” wird angezeigt.

  2. Wählen Sie Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

  3. Klicken Sie auf Einschränkungen. Die Seite Richtlinieninformationen wird angezeigt.

  4. Geben Sie im Bereich Richtlinieninformationen die folgenden Informationen ein:

    • Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
  5. Klicken Sie auf Weiter. Die Seite Richtlinienplattform wird angezeigt.

  6. Wählen Sie iOS.

  7. Klicken Sie auf Weiter, bis die Seite mit dem Abschnitt “Single App Bundle ID” angezeigt wird. Legen Sie die Einschränkungen fest.

    Abbildung der Einschränkungsrichtlinie

Weitere Informationen zur Konfiguration von Einschränkungen finden Sie unter Geräteeinschränkungsrichtlinie.

Neustarten und Herunterfahren betreuter iOS-Geräte

Sie können betreute iOS-Geräte ab Version 10.3 über Sicherheitsaktionen neu starten und herunterfahren. Wählen Sie unter Verwalten > Geräte das Gerät und klicken Sie auf Sicherheit gefolgt von Neustart oder Herunterfahren.

Geräte werden sofort neu gestartet, wenn sie den Befehl zum Neustarten empfangen. Per Passcode gesperrte iOS-Geräte stellen nach dem Neustart keine Neuverbindung mit Wi-Fi-Netzwerken her und können daher evtl. nicht mit dem Server kommunizieren. Geräte werden sofort heruntergefahren, wenn sie den Befehl zum Herunterfahren empfangen.

Abbildung: iOS-Sicherheitsaktionen

Orten von oder Läutton auslösen auf betreuten iOS-Geräten im Modus “Verloren”

Wenn Sie ein betreutes iOS-Gerät in den Modus “Verloren” versetzen, können Sie es mithilfe von Sicherheitsaktionen orten oder auf dem Gerät einen Läutton auslösen. Ein Läutton im Modus “Verloren” ist ein von Apple für das Gerät definierter Ton.

Abbildung: iOS orten

Suchen von Geräten im Modus “Verloren”

Wählen Sie unter Verwalten > Geräte das Gerät und klicken Sie auf Sicherheit gefolgt von Orten. Auf der Seite Gerätedetails wird der Status der Positionsanforderung angezeigt.

Abbildung: iOS orten

Wird das Gerät gefunden, wird auf der Seite Gerätedetails eine Karte angezeigt.

Abbildung: iOS-Position

Auslösen eines Läuttons auf einem Gerät im Modus “Verloren” (Mindestversion iOS 10.3)

Wählen Sie unter Verwalten > Geräte das Gerät und klicken Sie auf Sicherheit gefolgt von Klingeln. Das nächste Mal, wenn das Gerät eine Verbindung herstellt, ertönt ein Läutton. Zum Beenden des Läuttons betätigt der Benutzer die Ein-/Ausschalttaste. Verwenden Sie zum Ausschalten des Läuttons über die XenMobile-Konsole die Sicherheitsaktion Modus ‘Verloren’ deaktivieren.

Bessere Unterstützung für Android for Work

XenMobile bietet nun eine einfache Methode zum Einrichten von Android for Work für Ihre Organisation. Mit XenMobile Management Tools binden Sie XenMobile als Enterprise Mobility Management-Anbieter über Google Play und erstellen ein Unternehmen für Android for Work.

Hinweis:

G Suite-Kunden müssen die Legacy Android for Work-Einstellungen verwenden (siehe Legacy Android for Work für G Suite). Hierfür klicken Sie auf der Seite Android for Work der XenMobile-Einstellungen auf Legacy Android for Work.

Abbildung: Legacy Android for Work

Sie benötigen Folgendes:

  • Citrix Anmeldeinformationen zur Anmeldung bei XenMobile Tools
  • Ihre geschäftlichen Google-ID-Daten zur Anmeldung bei Google Play

Weitere Informationen zu Android for Work finden Sie unter Android for Work.

Lokale Unterstützung für Device Health Attestation (DHA)

Sie können Device Health Attestation (DHA) für Windows 10 Mobile-Geräte nun über einen lokalen Windows-Server aktivieren. Zuvor konnte DHA für XenMobile nur über Microsoft Cloud aktiviert werden.

Um DHA on-premises zu aktivieren, konfigurieren Sie zunächst einen DHA-Server. Anschließend erstellen Sie eine XenMobile Server-Richtlinie zum Aktivieren des lokalen DHA-Diensts. Zum Konfigurieren von DHA benötigen Sie eine Maschine mit Windows Server 2016 Technical Preview 5 oder höher. DHA wird als Serverrolle installiert. Anweisungen finden Sie in dem Microsoft-TechNet-Artikel Device Health Attestation.

So erstellen Sie eine XenMobile Server-Richtlinie zum Aktivieren des lokalen DHA-Diensts

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite “Geräterichtlinien” wird angezeigt.

  2. Wenn Sie bereits eine Richtlinie zum Aktivieren von DHA über Microsoft Cloud erstellt haben, fahren Sie mit Schritt 8 fort.

  3. Klicken Sie auf Hinzufügen, um eine Richtlinie hinzuzufügen. Das Dialogfeld Neue Richtlinie hinzufügen wird angezeigt.

  4. Erweitern Sie Mehr und klicken Sie dann unter Benutzerdefiniert auf Device Health Attestation. Die Seite Device Health Attestation wird angezeigt.

  5. Geben Sie im Bereich “Richtlinieninformationen” die folgenden Informationen ein:

    • Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
  6. Klicken Sie auf Weiter. Die Seite “Richtlinienplattform” wird angezeigt.

  7. Wählen Sie unter Plattformen die gewünschten Plattformen aus. Wenn Sie nur eine Plattform konfigurieren, deaktivieren Sie die anderen.

  8. Konfigurieren Sie folgende Einstellungen für jede ausgewählte Plattform:

    1. Legen Sie Device Health Attestation aktivieren auf EIN fest.

    2. Legen Sie Health Attestation Service lokal konfigurieren auf EIN fest.

    3. Geben Sie unter FQDN für lokalen DHA-Server den vollqualifizierten Domänennamen des DHA-Servers ein.

    4. Wählen Sie unter Lokale DHA-API-Version die Version des auf dem DHA-Server installierten Diensts.

  9. Konfigurieren Sie Bereitstellungsregeln und wählen Sie Bereitstellungsgruppen.

    Abbildung: On-Prem-DHA-Richtlinie

Überprüfen der Bereitstellung der Richtlinie auf einem Windows 10 Mobile-Gerät

  1. Klicken Sie in der XenMobile-Konsole auf Verwalten > Geräte.

  2. Wählen Sie das Gerät.

  3. Wählen Sie Eigenschaften.

  4. Scrollen Sie nach unten zu “Windows Device Health Attestation”.

Zusätzliche Makros für Registrierungsvorlagen

Sie können diese neue Makros beim Erstellen von Registrierungsvorlagen für Geräteregistrierungseinladungen verwenden:

${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

Die Makros ermöglichen die Erstellung von Vorlagen mit Registrierungs-URLs für mehrere Geräteplattformen.

Das nachstehende Beispiel zeigt, wie Sie eine Benachrichtigung erstellen, die Registrierungs-URLs für mehrere Geräteplattformen enthält. Das Makro für Meldung ist:

${enrollment.urls}

Abbildung eines Beispiels einer Registrierungsvorlage

Die nachstehenden Beispiele zeigen, wie Sie Text für Benachrichtigungen erstellen, der die Benutzer zum Klicken auf die Registrierungs-URL für ihre Geräteplattform auffordert:

Beispiel 1

To enroll, please click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

Beispiel 2

To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

Weitere Verbesserungen

  • Die XenMobile-Konsole und das Selbsthilfeportal stehen jetzt auf Spanisch zur Verfügung.

  • In XenMobile wird jetzt die Sicherheitspatchebene für Android-Geräte angezeigt. Sie können die Sicherheitspatchebene auf der Seite Verwalten > Geräte und unter Gerätedetails anzeigen. Sie können auch mit Konfigurieren > Aktionen eine Aktion erstellen, die von der Sicherheitspatchebene ausgelöst wird.

    Abbildung: Android-Sicherheitspatchebene

    Abbildung: Sicherheitspatchebene als Auslöser

  • Filtern von Registrierungseinladungen nach macOS: Der Plattformfilter für Verwalten > Registrierungseinladungen enthält jetzt auch die Option macOS.

    Abbildung der macOS-Option des Registrierungsfilters

  • Einstellung für die Einschränkungsrichtlinie, die die Nutzung der Gesichtserkennung zum Entsperren von Samsung Galaxy S8+-Geräten unterbindet: Die Einschränkungsrichtlinie für Samsung SAFE enthält jetzt die Einstellung Gesichtserkennung. Zum Blockieren der Verwendung der Gesichtserkennung zum Entsperren von Geräten legen Sie unter Konfigurieren > Geräterichtlinien die Einschränkungsrichtlinie Gesichtserkennung auf Aus fest.

    Abbildung Einschränkungsrichtlinie für Samsung-Gesichtserkennung

  • Erforderliche macOS-VPP-Apps werden nun unterstützt: Sie können jetzt Mac-VPP-Apps für Active Directory- und lokale Benutzer als erforderliche Apps bereitstellen. Sie können macOS-VPP-Apps unter Konfigurieren > Appsanzeigen, indem Sie die Apps nach macOS-VPP filtern. Auf dieser Seite wird der Abschnitt Storekonfiguration für macOS-VPP-Apps nicht angezeigt, da es Secure Hub für macOS nicht gibt. Die Benutzereigenschaften unter Verwalten > Geräte enthalten eine Eigenschaft zum Deaktivieren des VPP-Kontos für macOS-VPP-Konten.

  • Unter “Konfigurieren > Apps” wird jetzt die Paket-ID für Apps im öffentlichen App-Store und für Unternehmensapps angezeigt

    Abbildung der App-Konfiguration

    Abbildung der App-Konfiguration

  • Alphabetisch geordnete Ressourcenlisten für Bereitstellungsgruppen Unter Konfigurieren > Bereitstellungsgruppen werden alle Ressourcenlisten und Suchergebnisse in alphabetischer Reihenfolge angezeigt.

    Abbildung: Konfiguration von Bereitstellungsgruppen

    Abbildung: Konfiguration von Bereitstellungsgruppen

  • Auf den Seiten Verwalten > Geräte und Verwalten > Benutzer erscheinen die Daten jetzt im 24-Stunden-Format (tt/mm/jjjjjj hh:mm:ss). Datumsangaben spiegeln die lokale Zeitzone für Geräte und Benutzer wider.

  • Die VPN-Richtlinie für iOS-Geräte verfügt jetzt über eine Pro-App-VPN-Option für iKEv2-VPN-Richtlinien. Geräte mit iOS 9.0 und höher unterstützen Pro-App-VPN für iKEv2-Verbindungen. Es stehen folgende Optionen für Pro-App-VPN aktivieren zur Auswahl:

    • Pro-App-VPN aktivieren
    • App-Übereinstimmung bei Bedarf aktiviert
    • Safari-Domänen

      Abbildung der Pro-App-VPN-Richtlinien

      Abbildung der Pro-App-VPN-Richtlinien

      Unter “iOS” dem Abschnitt zum iKEv2-Verbindungstyp Folgendes hinzufügen:

      Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist AUS. Nur in iOS 9.0 und höher verfügbar.

      App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist AUS.

      Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.

  • Löschcode für macOS-Geräte wird in der XenMobile-Konsole angezeigt: Bei macOS-Geräten muss der Benutzer nach dem Löschen des Geräts einen PIN-Code eingeben. Wenn der Benutzer diesen Code vergessen hat, können Sie ihn jetzt auf der Seite Verwalten > Gerätedetails nachsehen.

    Abbildung des MacOS-Löschcodes

  • Beim Bereitstellen einer MDX-App mit VPP wird in Secure Hub jetzt nur noch die VPP-Instanz der App angezeigt. Zuvor wurden VPP- und MDX-Apps im Store angezeigt. Diese Änderung verhindert, dass Endbenutzer die MDX-Version der App installieren, welche erfordert, dass der Benutzer über ein iTunes-Konto verfügt. Wenn Sie eine MDX-App hinzufügen, gibt es die neue Einstellung App über VPP bereitgestellt. Ändern Sie die Einstellung auf EIN, wenn Sie die App mit VPP bereitstellen möchten.

    Abbildung der App-Bereitstellung mit VPP

  • Verbesserte Leistung beim Import großer Zahlen von VPP-Lizenzen: Bei dieser Optimierung wird Multithreading genutzt. Die neue XenMobile Server-Eigenschaft MaxNumberOfWorker hat den Standardwert 3 (Threads). Ist eine weitere Optimierung erforderlich, können Sie die Zahl der Threads erhöhen. Bei einer größeren Anzahl von Threads (z. B. 6) führt ein VPP-Import jedoch zu einer sehr hohen CPU-Auslastung.

  • In der XenMobile-Konsole lauten Verweise auf Mac OS X, OS X, OSX, MACOSX und MacOS jetzt “macOS”.

  • Neustart von Windows 10-Geräten: Sie können jetzt eine Sicherheitsaktion senden, um ein Gerät neu zu starten. Bei Windows-Tablets und -PCs erscheint die Meldung “System wird bald neu gestartet” und der Neustart erfolgt fünf Minuten später. Bei Windows Phone gibt es keine Warnmeldung und der Neustart erfolgt nach einigen Minuten.

    Abbildung: Neustart unter Windows 10

Änderungen an der öffentlichen REST-API

Für die Gerätebenachrichtigungs-REST-Dienste können Sie nun ein Gerät über die Geräte-ID benachrichtigen, ohne dass XenMobile ein Token senden muss.

Wenn Sie die XenMobile Public REST-API verwenden, um Registrierungseinladungen zu erstellen, können Sie jetzt Folgendes tun:

  • Angeben einer benutzerdefinierten PIN: Wenn der Registrierungsmodus eine PIN erfordert, können Sie anstelle der von XenMobile Server zufällig generierten eine benutzerdefinierte PIN verwenden. Die PIN-Länge muss mit der für den Registrierungsmodus konfigurierten Einstellung übereinstimmen. Der Standardwert der PIN-Länge ist 8. Beispielsweise kann eine Anforderung Folgendes umfassen: “Pin”: “12345678”.

  • Wählen mehrerer Plattformen: Bisher konnten Sie mit der REST-API nur eine Plattform für eine Registrierungseinladung angeben. Das Feld “Plattform” ist veraltet und wurde durch “Plattformen” ersetzt. Beispielsweise kann eine Anforderung Folgendes umfassen: “Plattformen”: [“iOS”, “MACOSX”].

Die öffentliche XenMobile-API für REST-Dienste enthält jetzt die folgenden APIs:

  • Get by Container ID
    • Mobile MDX-Apps
    • Mobile Unternehmensapps
    • Weblink-Apps
    • Web-/SaaS-Apps
    • Apps im öffentlichen App-Store
  • Upload app in new or existing container
    • Mobile MDX-Apps
    • Mobile Unternehmensapps
  • Update platform details inside the container for MDX mobile apps and public store apps
  • Add or update app
    • Weblink-Apps
    • Web-/SaaS-Apps
    • Apps im öffentlichen App-Store
  • Get all Web/SaaS connectors or get Web/Saas connectors by connector name
  • App-Container löschen
    • Mobile MDX-Apps
    • Mobile Unternehmensapps
    • Weblink-Apps
    • Web-/SaaS-Apps

Weitere Informationen finden Sie unter XenMobile Public API for REST Services.