XenMobile

Novedades en XenMobile Server 10.13

Servicio XenMobile Migration Service

Si utiliza XenMobile Server local, nuestro servicio XenMobile Migration Service puede ayudarle a comenzar a usar el servicio Endpoint Management. La migración desde XenMobile Server a Citrix Endpoint Management no requiere que vuelva a inscribir los dispositivos.

Para iniciar la migración, póngase en contacto con un representante de ventas local de Citrix o con un socio de Citrix. Consulte Servicio XenMobile Migration Service.

Anuncios de retirada

Para obtener información avanzada sobre las características de Citrix XenMobile que se están retirando gradualmente, consulte Elementos retirados.

Antes de actualizar la versión de un Citrix ADC local

La actualización de un Citrix ADC local a ciertas versiones puede dar lugar a un error de Single Sign-on. El inicio de sesión Single Sign-on en Citrix Files o la URL del dominio de ShareFile en un explorador con la opción Inicio de sesión de empleados genera un error. El usuario no puede iniciar sesión. Como solución temporal de este problema, siga estos pasos:

  1. Si aún no ha ejecutado el siguiente comando desde la CLI de ADC en Citrix Gateway, ejecútelo para habilitar el SSO global:

    set vpn parameter SSO ON bind vpn vs <vsName> -portalTheme X1

    Para obtener más información, consulte Citrix ADC Release (Feature Phase) 13.0 compilación 71.40 y Configuraciones de SSO afectadas.

  2. Ejecute los comandos siguientes:

    • Para cambiar a la CLI de FreeBSD, ejecute shell
    • Para ir a la carpeta /netscaler, ejecute cd /netscaler
    • Ejecute nsapimgr_wr.sh -ys call=ns_weak_sso_type_enable

    Después de completar estos pasos, los usuarios podrán iniciar sesión SSO en Citrix Files o la URL del dominio de ShareFile desde un explorador con la opción Inicio de sesión de empleados. [CXM-88400]

Antes de actualizar la versión de XenMobile a la 10.13 (instalación local)

Han cambiado algunos requisitos del sistema. Para obtener información, consulte Requisitos del sistema y compatibilidad y Compatibilidad de XenMobile.

  1. Si la máquina virtual con XenMobile Server que quiere actualizar tiene menos de 8 GB de RAM, se recomienda aumentarla a, por lo menos, 8 GB.

  2. Actualice Citrix License Server a la versión 11.16 o a una posterior antes de actualizarlo a la versión más reciente de XenMobile Server 10.13.

    La versión más reciente de XenMobile requiere Citrix License Server 11.16 (versión mínima).

    Nota:

    La fecha de Customer Success Services (anteriormente, fecha de Subscription Advantage) en XenMobile 10.12 es el 29 de septiembre de 2020. La fecha de Customer Success Services de su licencia de Citrix debe ser posterior a esta fecha.

    Puede ver la fecha junto a la licencia en el servidor de licencias. Si conecta la versión más reciente de XenMobile a un entorno de servidor de licencias anterior, la comprobación de conectividad falla y no se puede configurar el servidor de licencias.

    Para renovar la fecha que consta en la licencia, descargue el archivo de licencias más reciente del Portal de Citrix y cárguelo en el servidor de licencias. Consulte Customer Success Services.

  3. Para un entorno en clúster, las implementaciones de aplicaciones y directivas iOS a dispositivos iOS 11 y posterior presentan el siguiente requisito. Si Citrix Gateway está configurado para la persistencia de SSL, debe abrir el puerto 80 en todos los nodos de XenMobile Server.

  4. Recomendación: Antes de instalar una actualización de XenMobile, utilice las funcionalidades de la máquina virtual (VM) para tomar una instantánea del sistema. Asimismo, realice una copia de seguridad de la base de datos de configuración del sistema. Si tiene problemas durante la actualización, las copias de seguridad completas le permitirán recuperar los datos.

Para actualizar la versión

Con esta versión, XenMobile es compatible con VMware ESXi 7.0. Asegúrese de actualizar a la versión 10.13 antes de instalar o actualizar ESXi 7.0.

Puede actualizar directamente la versión 10.12.x o 10.11.x de XenMobile a 10.13. Para actualizar la versión, descargue el último binario disponible en https://www.citrix.com/downloads. Vaya a Citrix Endpoint Management (XenMobile) > XenMobile Server > Product Software > XenMobile Server 10. En el mosaico del software XenMobile Server para su hipervisor, haga clic en Download File (Descargar archivo).

Para cargar la actualización de la versión, utilice la página Administración de versiones de la consola de XenMobile. Consulte Para actualizar desde la página “Administración de versiones”.

Después de actualizar la versión

Si la funcionalidad relacionada con las conexiones de salida deja de funcionar y no ha cambiado la configuración de las conexiones, busque errores similares a los siguientes en el registro de XenMobile Server: “No se puede conectar con el servidor del programa VPP: El nombre de host ‘192.0.2.0’ no coincide con el sujeto de certificado suministrado por el servidor homólogo”.

  • Si recibe el error de validación de certificado, inhabilite la verificación de nombres de host en el XenMobile Server.
  • De forma predeterminada, la verificación de nombres de host está habilitada en las conexiones salientes, excepto para el servidor PKI de Microsoft.
  • Si la verificación de nombre de host deja inoperativa la implementación, cambie la propiedad de servidor disable.hostname.verification a true. El valor predeterminado de esta propiedad es false.

Actualizaciones sobre compatibilidad de plataforma

  • iOS 14: Las aplicaciones móviles de productividad de XenMobile Server y Citrix son compatibles con iOS 14, pero no son compatibles actualmente con las nuevas funcionalidades de iOS 14. MDX Service no admite empaquetado de aplicaciones iOS para iOS 14. Utilice MDX Toolkit 20.8.5 o una versión posterior.

  • Android 11: XenMobile Server es compatible con Android 11. Para obtener información sobre cómo afecta la retirada de las API de administración de dispositivos de Google a los dispositivos con Android 10+, consulte Migrar de la administración de dispositivos a Android Enterprise. Consulte también esta entrada del blog de Citrix.

Configurar diferentes modos de administración de dispositivos y aplicaciones en un mismo entorno

Ahora puede configurar un único sitio de XenMobile para ofrecer varias configuraciones de inscripción. El rol de los perfiles de inscripción se ha ampliado para incluir parámetros de inscripción para la administración de dispositivos y aplicaciones.

Los perfiles de inscripción admiten diferentes casos de uso y rutas de migración de dispositivos en una sola consola de XenMobile. Entre los casos de uso, se incluyen:

  • Administración de dispositivos móviles (solo MDM)
  • MDM+Administración de aplicaciones móviles (MAM)
  • Solo MAM
  • Inscripciones de propiedad de la empresa
  • Inscripciones BYOD (con la posibilidad de excluir la inscripción en MDM)
  • Migración de inscripciones en administrador de dispositivos Android a inscripciones en Android Enterprise (totalmente administrado, perfil de trabajo, dispositivo dedicado)

Los perfiles de inscripción sustituyen a la propiedad del servidor ahora retirada, xms.server.mode. Este cambio no afecta a los grupos de entrega existentes ni a los dispositivos inscritos.

Si no necesita inscribir dispositivos dedicados, puede inhabilitar esta funcionalidad estableciendo la propiedad de servidor enable.multimode.xms en false. Consulte Propiedades de servidor.

En la tabla siguiente, se muestra la ruta de migración automatizada desde el modo de propiedad del servidor existente a la nueva función de perfil de inscripción:

Propiedad de servidor existente Nuevo modo de administración
Modo ENT (iOS) Inscripción de dispositivos Apple con Citrix MAM
Modo ENT (Android) Administrador de dispositivos antiguos con Citrix MAM
Modo ENT (Android Enterprise) Perfil de trabajo en totalmente administrados (anteriormente COPE), con Citrix MAM
Modo MAM (iOS y Android) Citrix MAM
Modo MDM (iOS) Inscripción de dispositivos Apple
Modo MDM (Android) Administrador de dispositivos antiguo
Modo MDM (Android Enterprise) Perfil de trabajo en totalmente administrados

Al crear un grupo de entrega, puede adjuntar un perfil de inscripción al grupo. Si no adjunta un perfil de inscripción, XenMobile adjunta el perfil de inscripción Global.

Los perfiles de inscripción proporcionan las siguientes funcionalidades de administración de dispositivos:

  • Migración más fácil desde el modo de administrador de dispositivos Android (DA) a Android Enterprise. Para los dispositivos Android Enterprise, la configuración incluye un modo propietario del dispositivo, como: totalmente administrado, perfil de trabajo en totalmente administrado o dedicado. Consulte Android Enterprise.

    Página Perfil de inscripción para Android

    Para esta actualización de versión, los parámetros actuales de XenMobile para el modo de servidor y Configuración > Android Enterprise se asignan a los nuevos parámetros del perfil de inscripción como se indica a continuación.

    Configuración actual Parámetro de administración Parámetro del modo propietario del dispositivo Parámetro de Citrix MAM
    MDM. Google Play administrado (Android Enterprise) Android Enterprise Perfil de trabajo en totalmente administrados No
    MDM; G Suite (AD heredado) AD heredado no corresponde No
    MAM No administrar dispositivos no corresponde
    MDM+MAM. Google Play administrado (Android Enterprise) Android Enterprise* Perfil de trabajo en totalmente administrados
    MDM+MAM; G Suite (AD heredado) AD heredado* no corresponde

    * Si la inscripción es necesaria, Permitir a los usuarios rechazar la administración de dispositivos está desactivado.

    Después de la actualización, los perfiles de inscripción actuales reflejan esas asignaciones. Considere si quiere crear otros perfiles de inscripción para gestionar nuevos casos de uso a medida que abandona el AD heredado.

  • Gestión de iOS más sencilla. Para los dispositivos iOS, la configuración incluye la posibilidad de inscribir los dispositivos como administrados o no administrados.

    Página Perfil de inscripción para iOS

    Para esta actualización de versión, las configuraciones anteriores se asignan a la nueva configuración del perfil de inscripción como se indica a continuación.

    Modo de servidor Parámetro de administración Parámetro de Citrix MAM
    MDM Inscripción de dispositivos No
    MAM No administrar dispositivos
    MDM+MAM Inscripción de dispositivos

    Si la inscripción es necesaria, Permitir a los usuarios rechazar la administración de dispositivos está desactivado.

Para los perfiles de inscripción mejorados, existen las siguientes limitaciones:

  • La funcionalidad de perfil de inscripción mejorado no está disponible para invitaciones de inscripción con autenticación de dos factores o PIN de un solo uso.

Consulte Perfiles de inscripción.

Compatibilidad con la última API de proveedor de APNs basada en HTTP/2

El soporte que ofrece Apple para el protocolo binario heredado del servicio de notificaciones push (APNs) finaliza en noviembre de 2020. Apple recomienda que se utilice en su lugar la API del proveedor de APNs basada en HTTP/2. XenMobile Server ahora es compatible con la API basada en HTTP/2. Para obtener más información, consulte la actualización de noticias “Apple Push Notification Service Update” en https://developer.apple.com/. Para obtener ayuda sobre cómo comprobar la conectividad con APNs, consulte Comprobaciones de conectividad.

Usar una VPN IPSec basada en certificados de dispositivo con muchos dispositivos iOS

En vez de configurar una directiva de VPN y una directiva de credenciales para cada dispositivo iOS que requiera una VPN IPSec basada en certificados de dispositivo, automatice el proceso.

  1. Configure una directiva de VPN para iOS con el tipo de conexión Always on IKEv2.
  2. Seleccione Certificado de dispositivo basado en la identidad del dispositivo como método de autenticación del dispositivo.
  3. Seleccione el Tipo de identidad del dispositivo que quiera utilizar.
  4. Importe en bloque los certificados de dispositivo con la API de REST.

Para obtener información general sobre cómo configurar la directiva de VPN, consulte Directiva de VPN. Para obtener información acerca de la importación de certificados en bloque, consulte Cargar certificados en bloque con la API de REST).

Actualizaciones automáticas para aplicaciones de compras por volumen de Apple

Al agregar una cuenta de compras por volumen (Ajustes > Ajustes de iOS), ahora puede habilitar las actualizaciones automáticas para todas las aplicaciones iOS. Consulte el parámetro Actualización automática de aplicaciones en Compras por volumen de Apple.

Requisitos de contraseña para una cuenta de usuario local

Cuando agregue o modifique una cuenta de usuario local en la consola de XenMobile, asegúrese de que sigue los requisitos de contraseña más recientes.

Para obtener más información, consulte Para agregar una cuenta de usuario local.

  • Requisitos de contraseña: Cuando agregue o modifique una cuenta de usuario local en la consola de XenMobile Server, siga los requisitos de contraseña más recientes. Consulte Para agregar una cuenta de usuario local.

  • Bloqueo de cuenta de usuario local: Si un usuario alcanza el número máximo de intentos consecutivos de inicio de sesión no válidos, la cuenta de usuario local se bloquea durante 30 minutos. El sistema deniega todos los intentos de autenticación hasta que transcurra el período de bloqueo. Para desbloquear la cuenta en la consola de XenMobile Server, vaya a Administrar > Usuarios, seleccione la cuenta de usuario y haga clic en Desbloquear usuario local. Consulte Para desbloquear una cuenta de usuario local.

Directivas de dispositivo

Se han agregado nuevas directivas y configuraciones de directivas para dispositivos Android Enterprise.

Ocultar el icono de la barra de la bandeja en dispositivos Android Enterprise

Ahora puede seleccionar si el icono de la barra de la bandeja estará oculto o visible para dispositivos Android Enterprise. Consulte Directiva de opciones de XenMobile.

Más funciones de administración de certificados para dispositivos Android Enterprise en modo de perfil de trabajo o en modo totalmente administrado

Además de instalar entidades de certificación en el almacén de claves administrado, ahora puede administrar las siguientes funcionalidades:

  • Configurar los certificados utilizados por aplicaciones administradas específicas. La directiva de credenciales para Android Enterprise ahora incluye el parámetro Aplicaciones que usan los certificados. En esta directiva, puede especificar qué aplicaciones utilizan los certificados de usuario emitidos por el proveedor de credenciales seleccionado. Las aplicaciones obtienen acceso en modo silencioso a los certificados en tiempo de ejecución. Para utilizar los certificados con todas las aplicaciones, deje la lista de aplicaciones en blanco. Consulte Directiva Credenciales.
  • Quitar en modo silencioso los certificados del almacén de claves administrado o desinstalar todos los certificados de CA que no sean del sistema. Consulte Directiva Credenciales.
  • Impedir que los usuarios modifiquen las credenciales almacenadas en el almacén de claves administrado. La directiva de restricciones para Android Enterprise ahora incluye el parámetro Permitir que el usuario configure las credenciales de usuario. De forma predeterminada está activado. Consulte Directiva de restricciones.

Uso más fácil de alias de certificado en configuraciones administradas de Android Enterprise

Utilice la nueva configuración de alias de certificado en la directiva Credenciales con la directiva Configuraciones administradas por Android Enterprise. Al hacerlo, las aplicaciones pueden autenticarse en la VPN sin intervención por parte del usuario. En lugar de buscar el alias de credenciales en los registros de la aplicación, cree el alias de credenciales. Para crear el alias de credenciales, escríbalo en el campo Alias de certificado de la directiva Configuraciones administradas por Android Enterprise. A continuación, escriba el mismo alias de certificado en la configuración Alias de certificado, en la directiva Credenciales. Consulte Directiva Configuraciones administradas de Android Enterprise y Directiva Credenciales.

Control del parámetro “Use one lock” en dispositivos Android Enterprise

El nuevo parámetro Enable unified passcode en la directiva de dispositivo Código de acceso permite controlar si un dispositivo requiere códigos de acceso diferentes para el dispositivo y el perfil de trabajo. Antes de este parámetro, los usuarios controlaban este comportamiento con la opción Use one lock en el dispositivo. Cuando la opción Enable unified passcode está activada, los usuarios pueden usar el mismo código de acceso para el dispositivo y el perfil de trabajo. Si la opción Enable unified passcode está desactivada, los usuarios no pueden utilizar un mismo código de acceso para el dispositivo y el perfil de trabajo. Está desactivado de forma predeterminada. La opción Enable unified lock está disponible para dispositivos Android Enterprise con Android 9.0 o una versión posterior. Consulte Directiva de código de acceso.

Mostrar las aplicaciones y accesos directos en dispositivos Android Enterprise que no cumplen los requisitos

La directiva de código de acceso para Android Enterprise tiene un nuevo parámetro, Mostrar aplicaciones y accesos directos mientras el código de acceso no cumpla los requisitos. Al habilitar este parámetro, las aplicaciones y los accesos directos permanecen visibles cuando el código de acceso del dispositivo no cumple los requisitos. Citrix recomienda crear una acción automatizada para marcar el dispositivo como no conforme cuando el código de acceso no cumpla los requisitos. Consulte Directiva de código de acceso.

Inhabilitar la capacidad de imprimir en los dispositivos de perfil de trabajo o dispositivos totalmente administrados Android Enterprise

En la directiva Restricciones, la configuración No permitir la impresión permite especificar si los usuarios pueden imprimir en cualquier impresora accesible desde el dispositivo Android Enterprise. Consulte Parámetros de Android Enterprise.

Permitir aplicaciones en dispositivos dedicados agregando el nombre del paquete en la directiva de quiosco

Ahora puede introducir el nombre del paquete que quiere permitir en la plataforma Android Enterprise. Consulte Parámetros de Android Enterprise.

Administrar las funciones de Keyguard para los dispositivos de perfil de trabajo y totalmente administrados de Android Enterprise

Android Keyguard administra las pantallas de bloqueo del dispositivo y de Work Challenge. Utilice la directiva de dispositivos de administración de Keyguard para controlar:

  • Administración de Keyguard en dispositivos de perfil de trabajo. Puede especificar las funciones disponibles para los usuarios antes de que desbloqueen el Keyguard del dispositivo y el Keyguard de Work Challenge. Por ejemplo, de forma predeterminada, los usuarios pueden usar desbloqueo mediante huella digital y ver notificaciones sin redactar en la pantalla de bloqueo. También puede usar la directiva de administración de Keyguard para inhabilitar toda la autenticación biométrica para dispositivos con Android 9.0 y versiones posteriores.
  • Administración de Keyguard en dispositivos dedicados y totalmente administrados. Puede especificar las funciones disponibles, como agentes de confianza y cámara segura, antes de que desbloqueen la pantalla de Keyguard. O bien, puede optar por desactivar todas las funciones de Keyguard.

Consulte Directiva de dispositivos de administración de Keyguard.

Publicar aplicaciones empresariales para Android Enterprise en la consola de XenMobile

Ya no es necesario registrarse con una cuenta de desarrollador de Google Play al agregar una aplicación privada de Android Enterprise. La consola de XenMobile abre una interfaz de usuario de la tienda administrada de Google Play para que pueda cargar y publicar el archivo APK. Para obtener más información, consulte Agregar una aplicación de empresa.

Publicar aplicaciones web para Android Enterprise en la consola de XenMobile

Ya no es necesario ir a Google Play administrado o al portal Google Developer si quiere publicar aplicaciones web de Android Enterprise para XenMobile. Al hacer clic en Cargar en Configurar > Aplicaciones > Enlace web, se abrirá una interfaz de usuario de Google Play Store administrado para cargar y guardar el archivo. La aprobación y publicación de la aplicación pueden tardar unos 10 minutos. Para obtener más información, consulte Agregar un enlace web.

Cargar certificados en bloque en dispositivos iOS con la API de REST de XenMobile Server

Si no es práctico cargar los certificados de uno en uno, utilice la API de REST de XenMobile Server para cargarlos en bloque en los dispositivos iOS.

  1. Configure una directiva de VPN para iOS con el tipo de conexión Always on IKEv2.
  2. Seleccione Certificado de dispositivo basado en la identidad del dispositivo como método de autenticación del dispositivo.
  3. Seleccione el Tipo de identidad del dispositivo que quiera utilizar.
  4. Importe en bloque los certificados de dispositivo con la API de REST.

Para obtener información sobre cómo configurar la directiva de VPN, consulte Directiva de VPN. Para obtener información acerca de la importación de certificados en bloque, consulte Cargar en bloque certificados en dispositivos iOS con la API de REST.

Actualizar claves de cifrado

La opción Actualizar claves de cifrado se agrega en los Parámetros avanzados de la interfaz de línea de comandos de XenMobile. Puede utilizar esta opción para actualizar las claves de cifrado de un nodo a la vez. Consulte Opciones de System.

Compatibilidad con ESXi 7.0

Con esta versión, XenMobile es compatible con VMware ESXi 7.0. Asegúrese de actualizar a la versión 10.13 antes de instalar o actualizar ESXi 7.0.

Nuevas propiedades de servidor

Las siguientes propiedades de servidor ya están disponibles:

  • Permitir nombres de host para enlaces de App Store de iOS: Si desea agregar aplicaciones de tienda pública de aplicaciones para iOS utilizando las API públicas, en lugar de la consola, configure una lista de nombres de host permitidos.
  • Límite de bloqueo de cuentas de usuario local: Configure el número de intentos de inicio de sesión que tiene un usuario local antes de que se bloquee su cuenta.
  • Tiempo de bloqueo de cuenta de usuario local: Configure cuánto tiempo se bloquea la cuenta de un usuario local después de demasiados intentos de inicio de sesión fallidos.
  • Restricción sobre tamaño máximo para carga de archivos habilitada: Permite habilitar la restricción de tamaño máximo de los archivos cargados.
  • Tamaño máximo permitido para carga de archivos: Establezca el tamaño máximo de los archivos cargados.

Para obtener información más detallada acerca de estas propiedades, consulte Propiedades de servidor.

Limpieza de autoservicio del disco

Hay disponible una nueva opción de interfaz de línea de comandos, denominada Uso del disco, en el menú Solución de problemas. Esta opción le permite ver una lista de archivos de volcado principal y de tipo paquetes de asistencia. Después de ver la lista, puede optar por eliminar todos esos archivos desde la línea de comandos. Para obtener más información acerca de las herramientas de interfaz de línea de comandos, consulte Opciones de la interfaz de línea de comandos.