Novedades en XenMobile Server 10.7

XenMobile Server 10.7 (Descarga en PDF)

Nota:

TouchDown de Symantec ha alcanzado el ciclo Fin de vida el 3 de julio de 2017, con Fin de respaldo estándar, Fin de respaldo extendido y Fin de vida del respaldo el 2 de julio de 2018. Para obtener más información, consulte el artículo de asistencia técnica de Symantec, Anuncio de fin del ciclo de vida de TouchDown, fin de disponibilidad y fin de soporte.

Para obtener más información sobre la actualización, consulte Actualizar. Para acceder a la consola de administración de XenMobile, use solamente el nombre de dominio completo de XenMobile Server o las direcciones IP del nodo.

Importante:

Después de actualizar a XenMobile 10.7

Si la funcionalidad relacionada con las conexiones de salida deja de funcionar y aún no ha cambiado la configuración de las conexiones, busque errores similares a los siguientes en el registro de XenMobile Server: “No se puede conectar con el servidor del programa VPP: El nombre de host ‘192.0.2.0’ no coincide con el sujeto de certificado suministrado por el servidor homólogo”.

Si recibe el error de validación de certificado, inhabilite la verificación de nombres de host en el XenMobile Server. De forma predeterminada, la verificación de nombres de host está habilitada en las conexiones salientes, excepto para el servidor PKI de Microsoft. Si la verificación de nombres de host deja inoperativa la implementación, cambie la propiedad de servidor disable.hostname.verification a true. El valor predeterminado de esta propiedad es false.

Para ver las correcciones de errores, consulte Problemas resueltos.

Integrar con funciones de Apple Educación

Puede usar XenMobile Server como solución de administración de dispositivos móviles (MDM) en un entorno que usa Apple Educación. XenMobile admite las mejoras de Apple Educación introducidas en iOS 9.3, incluidos Apple School Manager y la aplicación Aula para iPad. La nueva directiva “Configuración de la educación” de XenMobile define los dispositivos de profesores y estudiantes que van a usarse con Apple Educación.

En el siguiente vídeo se ofrece un tour rápido de los cambios que se pueden realizar en Apple School Manager y XenMobile Server.

Configuración de la educación en Citrix XenMobile: Integración de funciones de Apple Educación en XenMobile

En el marco de Apple Educación, ofrece iPads preconfigurados y supervisados a profesores y estudiantes. Esa configuración incluye:

  • Inscripción DEP de Apple School Manager en XenMobile

  • Una cuenta de ID de Apple administrada y configurada con una contraseña nueva

  • iBooks y las aplicaciones obligatorias del programa VPP

Para obtener más información sobre la integración con funciones de Apple Educación, consulte Integrar con funciones de Apple Educación y Directiva de configuración de la educación.

Imagen de Configuración de la educación

Implementar iBooks en dispositivos iOS

Puede utilizar XenMobile para implementar los iBooks que obtiene con el Programa de Compras por Volumen (VPP) de Apple. Después de configurar una cuenta VPP en XenMobile, los libros gratuitos y adquiridos que posea aparecerán en Configurar > Multimedia. Los libros de iBooks se configuran para la implementación en dispositivos iOS desde las páginas Multimedia. Para implementarlos, debe elegir grupos de entrega y especificar reglas de implementación.

La primera vez que el usuario recibe un iBook y acepta la licencia VPP, los libros implementados se instalan en el dispositivo. Los libros aparecen en la aplicación iBooks de Apple. La licencia de un libro no se puede desasociar del usuario; tampoco se puede quitar el libro del dispositivo. XenMobile instala iBooks como aplicación obligatoria. Aunque un usuario elimine un libro instalado en el dispositivo, ese libro permanecerá en la aplicación iBooks, listo para la descarga.

Requisitos previos

Configurar iBooks

Los iBooks obtenidos mediante VPP aparecen en la página Configurar > Multimedia. Para obtener más información, consulte Agregar contenido multimedia.

Imagen de la configuración de iBooks

Directiva BitLocker

Windows 10 Enterprise incluye una función de cifrado de discos llamada BitLocker. Esa función ofrece una protección adicional frente al acceso no autorizado a archivos y sistemas en un dispositivo perdido o robado. Para mayor protección, puede usar BitLocker con chips del Módulo de plataforma segura (TPM) 1.2 o versiones posteriores. Un chip TPM gestiona las operaciones de cifrado. Asimismo, genera, almacena y limita el uso de claves de cifrado.

A partir de Windows 10, compilación 1703, se puede controlar BitLocker mediante las directivas MDM. En XenMobile, puede usar la directiva BitLocker para configurar los parámetros disponibles en el Asistente de BitLocker en dispositivos Windows 10. Por ejemplo, en un dispositivo con BitLocker habilitado, BitLocker puede pedir a los usuarios que definan:

  • Cómo desbloquear sus dispositivos tras el arranque

  • Cómo crear copias de seguridad de su clave de recuperación

  • Cómo desbloquear una unidad fija.

Con la directiva BitLocker, también se puede configurar si:

  • Habilitar BitLocker en dispositivos que no tienen chip TPM.

  • Mostrar opciones de recuperación en la interfaz de BitLocker.

  • Denegar el acceso de escritura en una unidad fija o extraíble cuando BitLocker no está habilitado.

    Imagen de la configuración de BitLocker

    Imagen de la configuración de BitLocker

Para obtener más información sobre la directiva de dispositivo BitLocker, consulte Directiva BitLocker.

Restricciones nuevas para dispositivos supervisados que ejecutan iOS 10.3 y versiones posteriores

Las restricciones permiten impedir que los usuarios realicen ciertas acciones en sus dispositivos. Esas restricciones se implementan por medio de directivas de dispositivos.

Ahora están disponibles las siguientes restricciones para los dispositivos que ejecutan iOS 10.3 y versiones posteriores, en modo supervisado:

  • Permitir dictado: Solo en dispositivos supervisados. Cuando esta restricción se establece en No, no se permite la entrada de dictado. El valor predeterminado es . Para iOS 10.3 y versiones posteriores.
  • Forzar lista blanca de Wi-Fi: Opcional. Solo dispositivos supervisados. Cuando esta restricción se activa, el dispositivo solo puede conectarse a aquellas redes Wi-Fi que se hayan configurado a través de un perfil de configuración. El valor predeterminado es OFF. Para iOS 10.3 y versiones posteriores.

Para configurar esas restricciones

  1. En la consola de XenMobile, seleccione Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Seleccione Agregar. Aparecerá la página Agregar nueva directiva.

  3. Haga clic en Restricciones. Aparecerá la página de información Directiva de restricciones.

  4. En el panel Información de directiva, escriba la información siguiente:

    • Nombre de directiva: Escriba un nombre descriptivo para la directiva.
    • Descripción: Escriba una descripción opcional de la directiva.
  5. Haga clic en Siguiente. Aparecerá el panel Plataformas de la directiva.

  6. Marque iOS.

  7. Haga clic en Siguiente hasta la página que contiene la sección “ID único de paquete de la aplicación”. Configure las restricciones pertinentes.

    Imagen de las restricciones para la directiva de dispositivo

Para obtener más información sobre la configuración de restricciones, consulte Directiva de restricciones.

Reiniciar o apagar un dispositivo iOS supervisado

Puede usar acciones de seguridad para reiniciar o apagar un dispositivo iOS supervisado (versión mínima 10.3). Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Seguridad y, a continuación, haga clic en Reiniciar o Apagar.

El dispositivo se reinicia inmediatamente cuando recibe el comando Reiniciar. Los dispositivos iOS bloqueados por código de acceso no vuelven a conectarse a redes Wi-Fi después de reiniciarse, por lo que no se comunican con el servidor. El dispositivo se apaga inmediatamente cuando recibe el comando Apagar.

Imagen de las acciones de seguridad para iOS

Localizar o hacer sonar un dispositivo iOS supervisado que está en modo perdido

Después de colocar un dispositivo iOS supervisado en modo perdido, puede usar acciones de seguridad, como localizar o hacer sonar el dispositivo. Una “llamada” es el sonido del modo Perdido que Apple define para el dispositivo.

Imagen de Localizar en iOS

Para localizar un dispositivo que está en modo Perdido

Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Seguridad y, a continuación, haga clic en Localizar. La página Detalles del dispositivo ofrece un estado de la solicitud de localización.

Imagen de Localizar en iOS

Si el dispositivo se localiza, la página Detalles del dispositivo muestra un mapa.

Imagen de ubicación en iOS

Para hacer sonar un dispositivo que está en modo Perdido (versión mínima iOS 10.3)

Vaya a Administrar > Dispositivos, seleccione el dispositivo, haga clic en Seguridad y, a continuación, haga clic en Hacer sonar. La próxima vez que el dispositivo se conecte, sonará. Para detener el timbre, el usuario debe hacer clic en el botón de encendido. Para detener el timbre desde la consola de XenMobile, use la acción de seguridad Inhabilitar modo perdido.

Respaldo mejorado a Android for Work

XenMobile ofrece ahora un método sencillo para configurar Android for Work para su organización. Con las herramientas de administración de XenMobile, puede vincular XenMobile como su proveedor de administración de movilidad empresarial a través de Google Play y crear una empresa para Android for Work.

Nota:

Los clientes de G Suite deben usar la configuración antigua de Android for Work, como se describe en Android for Work antiguo para clientes de G Suite. Haga clic en Android for Work antiguo en la página Android for Work de los parámetros de XenMobile.

Imagen de Android for Work antiguo

Necesita:

  • Las credenciales de cuenta de Citrix para iniciar sesión en XenMobile Tools
  • Las credenciales ID de Google de empresa para iniciar sesión en Google Play

Para obtener más información sobre Android for Work, consulte Android for Work.

Respaldo para Device Health Attestation (DHA) local

Ahora puede habilitar Device Health Attestation (DHA) para dispositivos móviles Windows 10 a través de un servidor Windows local. Anteriormente, DHA solo se podía habilitar para XenMobile a través de Microsoft Cloud.

Para habilitar DHA local, primero debe configurar un servidor DHA. A continuación, cree una directiva de XenMobile Server para habilitar el servicio DHA local. Para configurar un servidor DHA, se necesita una máquina que ejecuta Windows Server 2016 Technical Preview 5 o una versión posterior. Instale DHA como con un rol de servidor. Para obtener instrucciones, consulte el artículo de Microsoft TechNet Device Health Attestation.

Para crear una directiva de XenMobile Server para habilitar el servicio DHA local:

  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Si ya ha creado una directiva para habilitar DHA a través de Microsoft Cloud, vaya al paso 8.

  3. Haga clic en Agregar para agregar una directiva. Aparecerá el cuadro de diálogo Agregar nueva directiva.

  4. Haga clic en Más y, a continuación, en Personalizado, haga clic en Directiva de Device Health Attestation. Aparecerá la página de información Directiva de Device Health Attestation.

  5. En el panel “Información de directiva”, escriba la información siguiente:

    • Nombre de directiva: Escriba un nombre descriptivo para la directiva.
    • Descripción: Escriba una descripción opcional de la directiva.
  6. Haga clic en Siguiente. Aparecerá el panel Plataformas de la directiva.

  7. En Plataformas, seleccione las plataformas que quiera agregar. Si solo va a configurar una plataforma, desmarque las demás.

  8. Para cada plataforma que marque:

    1. Active la opción Habilitar Device Health Attestation.

    2. Active la opción Configurar Health Attestation Service local.

    3. En el nombre FQDN del servidor DHA local, introduzca el nombre de dominio completo del servidor DHA que configuró.

    4. En Versión de API de DHA local, elija la versión del servicio DHA instalado en el servidor DHA.

  9. Configure las reglas de implementación y elija los grupos de entrega.

    Imagen de la directiva de DHA local

Para confirmar que la directiva se ha enviado a un dispositivo Windows 10 Mobile

  1. En la consola de XenMobile, haga clic en Administrar > Dispositivos.

  2. Seleccione el dispositivo.

  3. Seleccione Propiedades.

  4. Desplácese hasta ver “Windows Device Health Attestation”.

Más macros para plantillas de inscripción

Puede usar estas macros nuevas cuando cree plantillas de inscripción para invitaciones a la inscripción de dispositivos:

${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

Estas macros permiten crear plantillas de inscripción que contengan las direcciones URL de inscripción para varias plataformas de dispositivos.

En este ejemplo se muestra cómo crear una notificación que incluya las direcciones URL de inscripción para varias plataformas de dispositivos. La macro para el mensaje es:

${enrollment.urls}

Imagen de una plantilla de inscripción de ejemplo

En estos ejemplos se muestra cómo crear mensajes para las notificaciones que solicitan a los usuarios hacer clic en la URL de inscripción correspondiente a la plataforma de sus dispositivos:

Ejemplo 1

To enroll, please click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

Ejemplo 2

To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

Otras mejoras

  • Ahora están disponibles en español la consola de XenMobile y Self Help Portal.

  • Ahora XenMobile informa del nivel de la revisión de seguridad para dispositivos Android. Puede ver el Nivel de revisión de seguridad en la página Administrar > Dispositivos y en Detalles del dispositivo. También puede usar Configurar > Acciones para crear una acción que active el nivel de revisión de seguridad.

    Imagen del nivel de revisión de seguridad en Android

    Imagen del desencadenante para el nivel de revisión de seguridad

  • Filtrar invitaciones de inscripción por macOS. Ahora el filtro de plataforma que se encuentra en Administrar > Invitaciones de inscripción incluye macOS.

    Imagen del filtro de inscripción para macOS

  • Configuración de la directiva “Restricciones” para impedir que los usuarios usen el reconocimiento facial para desbloquear dispositivos Samsung Galaxy S8+. Ahora la directiva “Restricciones” para Samsung SAFE incluye la configuración Reconocimiento facial. Si quiere impedir el uso del reconocimiento facial para desbloquear el acceso al dispositivo, vaya a Configurar > Directivas de dispositivo y modifique la directiva “Restricciones” para establecer Reconocimiento facial en No.

    Imagen de la restricción al reconocimiento facial en Samsung

  • Ahora se respaldan las aplicaciones obligatorias del programa VPP para macOS. Ahora puede implementar aplicaciones VPP para macOS como aplicaciones obligatorias, tanto para usuarios locales como para usuarios de Active Directory. Las aplicaciones VPP para macOS se encuentran en Configurar > Aplicaciones. Asimismo, puede filtrarlas por programa VPP para macOS. En dicha página, la sección Configuración de la tienda no aparece para aplicaciones VPP de macOS porque Secure Hub no existe para macOS. En Administrar > Dispositivos, el apartado Propiedades de usuario contiene la opción de retirar cuentas VPP para macOS.

  • Ahora “Configurar > Aplicaciones” muestra el ID de paquete correspondiente a aplicaciones de tienda pública y aplicaciones de empresa.

    Imagen de la configuración de aplicaciones

    Imagen de la configuración de aplicaciones

  • Listas alfabéticas de recursos para grupos de entrega En Configurar > Grupos de entrega, todas las listas de recursos y los resultados de búsqueda aparecen por orden alfabético.

    Imagen de la configuración de grupos de entrega

    Imagen de la configuración de grupos de entrega

  • En las páginas Administrar > Dispositivos y Administrar > Usuarios, ahora las fechas aparecen en el formato de 24 horas (dd/mm/aaaa hh:mm:ss). Las fechas concuerdan con la zona horaria local de los dispositivos y los usuarios.

  • La directiva VPN para dispositivos iOS ahora ofrece una opción de VPN por aplicación para las directivas VPN del tipo iKEv2. Los dispositivos iOS 9.0 y versiones posteriores admiten la red VPN por aplicación para las conexiones iKEv2. A continuación, dispone de las opciones de VPN por aplicación: Habilitar VPN por aplicación

    • Habilitar VPN por aplicación
    • Correspondencia de aplicación a demanda habilitada
    • Dominios de Safari

      Imagen de las directivas de VPN por aplicación

      Imagen de las directivas de VPN por aplicación

      En la sección “iOS”, agregue a la sección del tipo de conexión iKEv2:

      Habilitar VPN por aplicación: Seleccione si habilitar redes VPN para cada aplicación. El valor predeterminado es No. Disponible solo en iOS 9.0 y versiones posteriores.

      Correspondencia de aplicación a demanda habilitada: Seleccione si activar automáticamente conexiones de red VPN por aplicación cuando las aplicaciones asociadas al servicio VPN por aplicación inician una comunicación de red. El valor predeterminado es No.

      Dominios de Safari: Haga clic en Agregar para agregar un nombre de dominio de Safari.

  • El código de borrado para los dispositivos macOS aparece en la consola de XenMobile. Los dispositivos macOS requieren que los usuarios introduzcan un código PIN tras borrarse los datos que contenían. Si el usuario no recuerda este código, ahora usted puede buscarlo en la página Administrar > Detalles del dispositivo.

    Imagen del código de borrado para macOS

  • Cuando se usa VPP para implementar una aplicación MDX, ahora la tienda Secure Hub solo muestra la instancia VPP de la aplicación. Anteriormente, aparecían tanto las aplicaciones MDX como las VPP en la tienda. Este cambio impide que los usuarios finales instalen la versión MDX de la aplicación, que requiere que los usuarios tengan una cuenta de iTunes. Cuando se agrega una aplicación MDX, hay una configuración nueva, Aplicación implementada por VPP. Active esta configuración si va a implementar la aplicación mediante VPP.

    Imagen de la implementación de aplicaciones mediante VPP

  • Rendimiento mejorado cuando se importan varias licencias VPP. Esta optimización utiliza el subprocesamiento múltiple. Una nueva propiedad de XenMobile Server, MaxNumberOfWorker, tiene el valor 3 (subprocesos) de forma predeterminada. Si necesita mayor optimización, puede aumentar la cantidad de subprocesos. No obstante, con una mayor cantidad de subprocesos (por ejemplo, 6), una importación VPP consume mucha CPU.

  • En la consola de XenMobile, todas las referencias a Mac OS X, OS X, OSX, MACOSX y MacOS pasan a ser macOS.

  • Reiniciar un dispositivo Windows 10. Ahora puede enviar la acción de seguridad “Reiniciar” para reiniciar un dispositivo. Para tabletas y equipos Windows, aparece el mensaje “El sistema va a reiniciase” y el reinicio se produce en cinco minutos. Para Windows Phone, no aparece ningún mensaje de advertencia a los usuarios y el reinicio se produce después de unos minutos.

    Imagen del reinicio de Windows 10

Cambios en la API pública de REST

Para los servicios REST de notificaciones de dispositivo, ahora se puede notificar a un dispositivo con el ID de ese dispositivo, sin necesidad de que XenMobile envíe un token.

Cuando se usa la API pública de REST de XenMobile para crear invitaciones de inscripción, ahora puede:

  • Especificar un PIN personalizado. Si el modo de inscripción requiere un PIN, puede usar un PIN personalizado, en lugar de uno generado aleatoriamente por XenMobile Server. La longitud del PIN debe coincidir con el parámetro configurado para el modo de inscripción. La longitud predeterminada del PIN es de 8 caracteres. Por ejemplo, una solicitud puede contener “pin”: “12345678”.

  • Seleccionar varias plataformas. Anteriormente, podía usar la API de REST para especificar solamente una plataforma para una invitación de inscripción. El campo “plataforma” ha pasado a ser obsoleto y se ha sustituido por “plataformas”. Por ejemplo, una solicitud puede contener: “platforms”: [“iOS”, “MACOSX”]

La API pública de XenMobile para servicios REST ahora incluye las siguientes API:

  • Obtener mediante el ID del contenedor
    • Aplicaciones móviles MDX
    • Aplicaciones móviles empresariales
    • Aplicaciones de enlace Web
    • Aplicaciones Web o SaaS
    • Aplicaciones de la tienda pública de aplicaciones
  • Cargar aplicación en contenedor nuevo o existente
    • Aplicaciones móviles MDX
    • Aplicaciones móviles empresariales
  • Datos de actualización de la plataforma dentro del contenedor para aplicaciones móviles MDX y aplicaciones de tienda pública
  • Agregar o actualizar aplicación
    • Aplicaciones de enlace Web
    • Aplicaciones Web o SaaS
    • Aplicaciones de la tienda pública de aplicaciones
  • Obtener todos los conectores Web o SaaS u obtener conectores Web o SaaS por nombre de conector
  • Eliminar contenedor de aplicaciones
    • Aplicaciones móviles MDX
    • Aplicaciones móviles empresariales
    • Aplicaciones de enlace Web
    • Aplicaciones Web o SaaS

Para obtener más información, consulte XenMobile Public API for REST Services.