Novedades en XenMobile Server 10.11

Importante:

Con respecto a las actualizaciones de dispositivos a una versión posterior a iOS 12, tenga en cuenta que el tipo de conexión VPN de Citrix en la directiva VPN para iOS no admite versiones posteriores a iOS 12. Por eso, debe eliminar la directiva VPN existente y crear otra directiva VPN con el tipo de conexión Citrix SSO.

La conexión Citrix VPN seguirá funcionando en dispositivos implementados anteriormente después de que elimine la directiva VPN. La nueva configuración de la directiva VPN surte efecto en XenMobile Server 10.11, durante la inscripción de usuario.

Soporte para iOS 13

XenMobile Server admite dispositivos actualizados a iOS 13. La actualización afecta a los usuarios de la siguiente manera:

  • Durante la inscripción, aparecen nuevas pantallas de opciones del Asistente de configuración de iOS. Apple ha agregado a iOS 13 nuevas pantallas de opciones del Asistente de configuración de iOS. Las nuevas opciones no se incluyen en la página Parámetros > Programa de inscripción de dispositivos de Apple (DEP) de esta versión. Por eso, no se puede configurar XenMobile Server para omitir esas pantallas. Esas páginas aparecen a los usuarios en los dispositivos iOS 13.

  • Algunas configuraciones de la directiva Restricciones que estaban disponibles en dispositivos supervisados o no supervisados para versiones anteriores de iOS solo están disponibles en dispositivos supervisados para versiones posteriores a iOS 13. El texto actual de ayuda en la consola de XenMobile Server aún no indica que estos parámetros son solo para dispositivos supervisados posteriores a iOS 13.

    • Permitir controles del hardware:
      • FaceTime
      • Instalar aplicaciones
    • Permitir aplicaciones
      • iTunes Store
      • Safari
      • Safari > Autorrelleno
    • Red: Permitir acciones de iCloud
      • Datos y documentos de iCloud
    • Parámetros solo para dispositivos supervisados: Permitir
      • Game Center > Añadir amigos
      • Game Center > Juegos multijugador
    • Contenido multimedia: Permitir
      • Música, podcasts y contenido de iTunes U explícito

Estas restricciones se aplican de la siguiente manera:

  • Si un dispositivo iOS 12 (o anterior) ya inscrito en XenMobile Server se actualiza a iOS 13, no hay cambios. La configuración anterior se aplica al dispositivo como antes.
  • Si un dispositivo no supervisado posterior a iOS 13 se inscribe en XenMobile Server, no se le aplica la configuración anterior.
  • Si un dispositivo supervisado posterior a iOS 13 se inscribe en XenMobile Server, se le aplica la configuración anterior.

Requisitos para certificados de confianza en iOS 13 y macOS 15

Apple tiene nuevos requisitos para certificados de servidor TLS. Verifique que todos los certificados cumplen los nuevos requisitos de Apple. Consulte la publicación de Apple: https://support.apple.com/en-us/HT210176. Para obtener ayuda sobre la administración de certificados, consulte Cargar certificados en XenMobile.

Actualizar la versión de GCM a la versión de FCM

El 10 de abril de 2018 Google retiró Google Cloud Messaging (GCM). El 29 de mayo de 2019 Google eliminó las API de servidores y clientes de GCM.

Requisitos importantes:

  • Actualice a la versión más reciente de XenMobile Server.
  • Actualice a la versión más reciente de Secure Hub.

Google recomienda actualizar la versión de GCM a Firebase Cloud Messaging (FCM) de inmediato para empezar a disfrutar de las nuevas funciones que ofrece FCM. Para obtener información procedente de Google, consulte https://developers.google.com/cloud-messaging/faq y https://firebase.googleblog.com/2018/04/time-to-upgrade-from-gcm-to-fcm.html.

Para que las notificaciones push sigan estando disponibles en sus dispositivos Android: Si utiliza GCM con XenMobile Server, pásese a FCM. Luego, actualice XenMobile Server con la nueva clave de FCM disponible en Firebase Cloud Messaging Console.

Los pasos siguientes reflejan el flujo de trabajo de las inscripciones cuando se utilizan certificados de confianza.

Pasos de la actualización:

  1. Siga las instrucciones de Google para actualizar la versión de GCM a la versión de FCM.
  2. En Firebase Cloud Messaging Console, copie la nueva clave de FCM. La necesitará en el siguiente paso.
  3. En la consola de XenMobile Server, vaya a Parámetros > Firebase Cloud Messaging y configure los parámetros como quiera.

Los dispositivos se pasarán a FCM la próxima vez que se conecten con XenMobile Server y actualicen sus directivas. Para obligar a que Secure Hub actualice las directivas: En Secure Hub, vaya a Preferencias > Información del dispositivo y toque Actualizar directiva. Para obtener más información sobre la configuración de FCM, consulte Firebase Cloud Messaging.

Servicio XenMobile Migration Service

Si utiliza XenMobile Server local, nuestro servicio XenMobile Migration Service puede ayudarle a comenzar a usar el servicio Endpoint Management. La migración desde XenMobile Server a Citrix Endpoint Management no requiere que vuelva a inscribir los dispositivos.

Para obtener más información, póngase en contacto con su representante local de ventas de Citrix, su ingeniero de sistemas o su socio de Citrix. En estos blogs, se comenta el servicio XenMobile Migration Service:

Nuevo servicio XenMobile Migration Service

Making the Case for XenMobile in the Cloud

Antes de actualizar la versión de XenMobile a la 10.11 (instalación local)

Han cambiado algunos requisitos del sistema. Para obtener información, consulte Requisitos del sistema y compatibilidad y Compatibilidad de XenMobile.

  1. Actualice Citrix License Server a la versión 11.15 o a una posterior antes de actualizarlo a la versión más reciente de XenMobile Server 10.11.

    La versión más reciente de XenMobile requiere Citrix License Server 11.15 (versión mínima).

    Nota:

    Si quiere utilizar su propia licencia para Preview, tenga en cuenta que la fecha de Customer Success Services (anteriormente, la fecha de Subscription Advantage) en XenMobile 10.11 es el 9 de abril de 2019. La fecha de Customer Success Services de su licencia de Citrix debe ser posterior a esta fecha.

    Puede ver la fecha junto a la licencia en el servidor de licencias. Si conecta la versión más reciente de XenMobile a un entorno de servidor de licencias anterior, la comprobación de conectividad falla y no se puede configurar el servidor de licencias.

    Para renovar la fecha que consta en la licencia, descargue el archivo de licencias más reciente del Portal de Citrix y cárguelo en el servidor de licencias. Para obtener más información, consulte Customer Success Services.

  2. Para un entorno en clúster, las implementaciones de aplicaciones y directivas iOS a dispositivos iOS 11 y posterior presentan el siguiente requisito. Si NetScaler Gateway está configurado para la persistencia de SSL, debe abrir el puerto 80 en todos los nodos de XenMobile Server.

  3. Si la máquina virtual que ejecuta XenMobile Server que quiere actualizar tiene menos de 4 GB de RAM, debe aumentarla a por lo menos 4 GB. Tenga en cuenta que la memoria RAM mínima recomendada es de 8 GB para entornos de producción.

  4. Recomendación: Antes de instalar una actualización de XenMobile, utilice las funcionalidades de la máquina virtual (VM) para tomar una instantánea del sistema. Asimismo, realice una copia de seguridad de la base de datos de configuración del sistema. Si tiene problemas durante la actualización, las copias de seguridad completas le permitirán recuperar los datos.

Para actualizar

Puede actualizar directamente la versión 10.10.x o 10.9.x de XenMobile a 10.11. Para realizar la actualización, use el archivo binario de 10.11 más reciente disponible en la página Descargas de Citrix. Para cargar la actualización, utilice la página Administración de versiones de la consola de XenMobile. Para obtener más información, consulte Para actualizar desde la página “Administración de versiones”.

Después de actualizar la versión

Después de actualizar la versión de XenMobile a la 10.11 (instalación local):

Si la funcionalidad relacionada con las conexiones de salida deja de funcionar y no ha cambiado la configuración de las conexiones, busque errores similares a los siguientes en el registro de XenMobile Server: “No se puede conectar con el servidor del programa VPP: El nombre de host ‘192.0.2.0’ no coincide con el sujeto de certificado suministrado por el servidor homólogo”.

Si recibe el error de validación de certificado, inhabilite la verificación de nombres de host en el XenMobile Server. De forma predeterminada, la verificación de nombres de host está habilitada en las conexiones salientes, excepto para el servidor PKI de Microsoft. Si la verificación de nombre de host deja inoperativa la implementación, cambie la propiedad de servidor disable.hostname.verification a true. El valor predeterminado de esta propiedad es false.

Configuraciones de directiva nuevas y actualizadas para dispositivos Android Enterprise

Directivas unificadas de Samsung Knox y Android Enterprise. Para dispositivos Android Enterprise con Samsung Knox 3.0 o posterior y Android 8.0 o posterior, Knox y Android Enterprise se han combinado en una solución unificada de administración de perfiles y dispositivos. Puede configurar los parámetros de Knox en la página de Android Enterprise de las siguientes directivas de dispositivo:

Directiva de restricciones para Android Enterprise

Directiva de inventario de aplicaciones para Android Enterprise. Ahora, puede recopilar un inventario de las aplicaciones Android Enterprise que haya presentes en los dispositivos administrados. Consulte Directiva de inventario de aplicaciones.

Acceder a todas las aplicaciones de Google Play en la tienda administrada de Google Play. La propiedad de servidor Access all apps in the managed Google Play store permite acceder a todas las aplicaciones de la tienda pública de Google Play desde la tienda administrada de Google Play. Al establecer esta propiedad en true, se ponen en una lista blanca las aplicaciones de la tienda pública de Google Play para todos los usuarios de Android Enterprise. A continuación, los administradores pueden utilizar la directiva de restricciones para controlar el acceso a estas aplicaciones.

Habilitar aplicaciones del sistema en dispositivos Android Enterprise. Para permitir que los usuarios ejecuten aplicaciones del sistema preinstaladas en el modo de perfil de trabajo o en el modo totalmente administrado de Android Enterprise, configure la directiva de restricciones. Esa configuración otorga a los usuarios acceso a las aplicaciones predeterminadas de los dispositivos, como la cámara, la galería y otras. Para restringir el acceso a una aplicación concreta, establezca los permisos de la aplicación mediante la directiva de permisos de Android Enterprise.

Habilitar aplicaciones del sistema

Se admiten dispositivos dedicados Android Enterprise. Ahora XenMobile admite la administración de dispositivos dedicados, anteriormente denominados dispositivos de uso único y propiedad de la empresa (COSU).

Los dispositivos Android Enterprise dedicados son dispositivos totalmente administrados que se destinan a cumplir un solo caso de uso. Así, restringe estos dispositivos a una aplicación o a un pequeño conjunto de aplicaciones que permitan realizar las tareas necesarias para este caso de uso. También impide que los usuarios habiliten otras aplicaciones o realicen otras acciones en el dispositivo.

Para obtener información sobre el aprovisionamiento de dispositivos Android Enterprise, consulte Aprovisionar dispositivos Android Enterprise dedicados.

Directiva renombrada. Para mayor concordancia con la terminología de Google, la directiva Restricciones a aplicaciones para Android Enterprise ahora se denomina Configuraciones administradas de Android Enterprise. Consulte Directiva de configuraciones administradas de Android Enterprise.

Bloquear y restablecer contraseña para Android Enterprise

Ahora XenMobile admite la acción de seguridad Bloquear y restablecer contraseña para dispositivos Android Enterprise. Esos dispositivos deben estar inscritos en el modo perfil de trabajo con Android 8.0 o posterior.

  • El código de acceso enviado bloquea el perfil de trabajo. El dispositivo no se bloquea.
  • Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso:
    • Si aún no hay ningún código de acceso establecido en el perfil de trabajo, el dispositivo se bloquea.
    • Si ya hay un código de acceso establecido en el perfil de trabajo, el perfil de trabajo se bloquea pero el dispositivo no.

Para obtener más información sobre las acciones de seguridad de bloqueo y restablecimiento de contraseña, consulte Acciones de seguridad.

Nuevas configuraciones de la directiva Restricciones para iOS o macOS

  • Las aplicaciones no administradas pueden leer contactos administrados: Opcional. Solo disponible si Documentos de aplicaciones administradas en aplicaciones no administradas está desactivado. Si esta directiva está habilitada, las aplicaciones no administradas pueden leer datos de los contactos de las cuentas administradas. El valor predeterminado es No. Disponible a partir de iOS 12.
  • Las aplicaciones administradas pueden registrar contactos no administrados: Opcional. Si está habilitado, se permite que las aplicaciones administradas agreguen contactos a los contactos de cuentas no administradas. Si Documentos de aplicaciones administradas en aplicaciones no administradas está habilitado, esta restricción no tiene efecto. El valor predeterminado es No. Disponible a partir de iOS 12.
  • Relleno automático de contraseña: Opcional. Si está inhabilitado, los usuarios no pueden usar las funciones de relleno automático de contraseñas o sugerencias de contraseñas seguras. El valor predeterminado es . Disponible a partir de iOS 12 y macOS 10.14.
  • Solicitud de contraseña a los contactos cercanos: Opcional. Si está inhabilitado, los dispositivos de los usuarios no solicitan contraseñas de los dispositivos cercanos. El valor predeterminado es . Disponible a partir de iOS 12 y macOS 10.14.
  • Compartir contraseña: Opcional. Si está inhabilitado, los usuarios no pueden compartir sus contraseñas mediante la función de contraseñas de AirDrop. El valor predeterminado es . Disponible a partir de iOS 12 y macOS 10.14.
  • Forzar fecha y hora automáticas: Supervisado. Si está activada, los usuarios no pueden desactivar la opción General > Fecha y hora > Establecer automáticamente. El valor predeterminado es No. Disponible a partir de iOS 12.
  • Permitir modo restringido de USB: Solo disponible para dispositivos supervisados. Si está desactivado, el dispositivo siempre se puede conectar a accesorios USB mientras está bloqueado. El valor predeterminado es . Disponible a partir de iOS 11.3.
  • Forzar demora de actualizaciones de software: Solo disponible para dispositivos supervisados. Si se activa, el usuario ve las actualizaciones de software más tarde. Con esta restricción activada, el usuario no verá una actualización de software hasta que transcurra la cantidad especificada de días después de la fecha de publicación de la actualización. El valor predeterminado es No. Disponible a partir de iOS 11.3 y macOS 10.13.4.
  • Demora forzosa para actualizaciones de software (días): Solo disponible para dispositivos supervisados. Esta restricción permite al administrador establecer la demora de una actualización de software en el dispositivo. El valor máximo es de 90 días y el valor predeterminado es 30. Disponible a partir de iOS 11.3 y macOS 10.13.4.
  • Forzar permiso del aula para abandonar clases: Solo está disponible para dispositivos supervisados. Si está activado, un alumno matriculado en un curso no gestionado con Aula debe solicitar el permiso del profesor cuando intenta abandonar el curso. El valor predeterminado es No. Disponible a partir de iOS 11.3.

Configuraciones de la directiva Restricciones

Consulte directiva de restricciones.

Actualizaciones en la directiva de Exchange para iOS o macOS

Más parámetros de cifrado y de firma S/MIME Exchange a partir de iOS 12. Ahora la directiva de Exchange incluye configuraciones para definir el cifrado y la firma S/MIME.

Para la firma S/MIME:

  • Credencial de identidad para firma. Seleccione la credencial de firma que se va a usar.
  • Firma S/MIME reemplazable por el usuario: Si se activa, los usuarios pueden activar y desactivar la firma S/MIME en la configuración de sus dispositivos. El valor predeterminado es No.
  • UUID de certificado de firma S/MIME reemplazable por el usuario: Si se activa, los usuarios pueden seleccionar, en la configuración de sus dispositivos, la credencial de firma que se va a usar. El valor predeterminado es No.

Para el cifrado S/MIME:

  • Credencial de identidad para cifrado. Seleccione la credencial de cifrado que se va a usar.
  • Habilitar cambio de opción S/MIME para cada mensaje: Cuando se activa, los usuarios ven una opción para activar o desactivar el cifrado S/MIME para cada mensaje que escriban. El valor predeterminado es No.
  • Cifrado S/MIME predeterminado reemplazable por el usuario: Si se activa, los usuarios pueden, en la configuración de sus dispositivos, seleccionar si S/MIME está activado de forma predeterminada. El valor predeterminado es No.
  • UUID de certificado de cifrado S/MIME reemplazable por el usuario: Si se activa, los usuarios pueden activar y desactivar el cifrado S/MIME y la identidad del cifrado S/MIME en la configuración de sus dispositivos. El valor predeterminado es No.

Configuraciones de OAuth en la directiva Exchange a partir de iOS 12. Ahora puede configurar la conexión con Exchange para usar OAuth en la autenticación.

Configuraciones de OAuth en la directiva Exchange a partir de macOS 10.14. Ahora puede configurar la conexión con Exchange para usar OAuth en la autenticación. Para la autenticación mediante OAuth, puede especificar la URL de inicio de sesión para una instalación que no utilice la detección automática.

Consulte Directiva de Exchange.

Actualizaciones en la directiva Correo para iOS

Más parámetros de cifrado y de firma S/MIME Exchange a partir de iOS 12. La directiva Correo incluye más configuraciones para definir el cifrado y la firma S/MIME.

Para la firma S/MIME:

  • Habilitar firma S/MIME: Seleccione si esta cuenta admite la firma S/MIME. El valor predeterminado es . Si se activa, aparecen los siguientes campos.
    • Firma S/MIME reemplazable por el usuario: Si se activa, los usuarios pueden activar y desactivar la firma S/MIME en la configuración de sus dispositivos. El valor predeterminado es No. Esta opción se aplica a iOS 12.0 y versiones posteriores.
    • UUID de certificado de firma S/MIME reemplazable por el usuario: Si se activa, los usuarios pueden seleccionar, en la configuración de sus dispositivos, la credencial de firma que se va a usar. El valor predeterminado es No. Esta opción se aplica a iOS 12.0 y versiones posteriores.

Para el cifrado S/MIME:

  • Habilitar cifrado S/MIME: Seleccione si esta cuenta admite el cifrado S/MIME. El valor predeterminado es No. Si se activa, aparecen los siguientes campos.
    • Habilitar cambio de opción S/MIME para cada mensaje: Cuando se activa, los usuarios ven una opción para activar o desactivar el cifrado S/MIME para cada mensaje que escriban. El valor predeterminado es No.
    • Cifrado S/MIME predeterminado reemplazable por el usuario: Si se activa, los usuarios pueden, en la configuración de sus dispositivos, seleccionar si S/MIME está activado de forma predeterminada. El valor predeterminado es No. Esta opción se aplica a iOS 12.0 y versiones posteriores.
    • UUID de certificado de cifrado S/MIME reemplazable por el usuario: Si se activa, los usuarios pueden activar y desactivar el cifrado S/MIME y la identidad del cifrado S/MIME en la configuración de sus dispositivos. El valor predeterminado es No. Esta opción se aplica a iOS 12.0 y versiones posteriores.

Consulte Directiva de correo.

Actualizaciones en la directiva Notificaciones de aplicaciones para iOS

A partir de iOS 12, están disponibles las siguientes configuraciones en la directiva Notificaciones de aplicaciones.

  • Mostrar en CarPlay: Si está activado, se muestran notificaciones en Apple CarPlay. El valor predeterminado es .
  • Habilitar alerta crítica: Si está activado, permite que una aplicación marque una notificación como crítica, con lo que esa aplicación ignora los parámetros de No molestar y de tono. El valor predeterminado es No.

Consulte Directiva de notificaciones de aplicaciones.

Compatibilidad con iPads compartidos utilizados con Apple Education

La integración de XenMobile con las funciones de Apple Education ahora admite iPads compartidos. Varios alumnos de un aula pueden compartir un iPad para las diferentes materias o asignaturas impartidas por uno o varios profesores.

O usted o los profesores inscriben los iPads compartidos y luego implementan directivas de dispositivo, aplicaciones y archivos multimedia en ellos. A continuación, los alumnos proporcionan sus credenciales administradas de ID de Apple para iniciar sesión en un iPad compartido. Si implementó anteriormente una directiva de configuración de la educación en los dispositivos de los alumnos, no es necesario que inicien sesión como “Otro usuario” para compartir esos dispositivos.

Requisitos previos para iPads compartidos:

  • Cualquier iPad Pro, iPad de 5.ª generación, iPad Air 2 o posterior y iPad mini 4 o posterior
  • Al menos 32 GB de almacenamiento
  • Supervisado

Para obtener más información, consulte Configurar iPads compartidos.

Cambio en los permisos del control de acceso por roles (RBAC)

Ahora el permiso RBAC Agregar/Eliminar usuarios locales se divide en dos permisos: Agregar usuarios locales y Eliminar usuarios locales.

Para obtener más información, consulte Configurar roles con RBAC.