Product Documentation

Novedades

17 de abril de 2018

Citrix tiene como objetivo entregar nuevas funciones y actualizaciones de sus productos a los clientes de XenMobile Service tan pronto como estén disponibles. Las nuevas versiones añaden valor al producto y no hay motivo para retrasar el momento de actualizar. Las actualizaciones continuas de XenMobile Service se publican aproximadamente cada 3 semanas. El ritmo de publicaciones de esta versión comenzó en agosto de 2016.

Para usted, como cliente, este proceso es transparente. Las actualizaciones iniciales solo se aplican en los sitios internos de Citrix; luego se aplican gradualmente en los entornos de los clientes. La entrega de actualizaciones incrementalmente en fases ayuda a garantizar la seguridad de los productos y maximizar su disponibilidad.

Si es cliente de XenMobile Service, también recibe comunicaciones y actualizaciones de XenMobile Service directamente de parte del equipo de operaciones de XenMobile Cloud. Esas actualizaciones lo mantienen al día, puesto que recibe así las funciones nuevas, los problemas conocidos y los problemas resueltos, entre otros.

Para obtener más información sobre los objetivos del servicio XenMobile Service en cuanto a su disponibilidad y la escalabilidad en la nube, consulte Objetivo de nivel de servicio. Para supervisar las interrupciones de servicio y el mantenimiento programado, consulte el Panel de estado del servicio.

Documentación de XenMobile Server: La documentación de XenMobile Server cubre la versión local más reciente de XenMobile Server. Para obtener más información sobre cómo usar la consola de XenMobile, consulte los artículos de XenMobile Server. La documentación de XenMobile Server indica las características que se aplican solo a las implementaciones locales. Citrix le notificará cuando los artículos “Novedades” de XenMobile Service se actualicen para una nueva versión.

XenMobile Service 10.18.4

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Administrar actualizaciones de SO para dispositivos Chromebook

Ahora, puede usar la directiva Control de actualizaciones de SO para implementar las actualizaciones de sistema operativo en los dispositivos Chromebook. Para configurar la directiva, vaya a Configurar > Directivas de dispositivo y agregue o modifique la directiva Control de actualizaciones de SO.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros:

  • Actualización habilitada: Especifica si se deben actualizar los dispositivos Chromebook automáticamente a una versión más reciente de Chrome OS. El valor predeterminado es No (desactivado).
  • Reiniciar después de actualizar: Especifica si hay que reiniciar un dispositivo Chromebook la próxima vez que el usuario cierre sesión después de una actualización automática. El valor predeterminado es No (desactivado).
  • Prefijo de versión de la plataforma de destino: Si un dispositivo tiene una versión anterior, este parámetro especifica el prefijo de la versión de destino a la que actualizarse. Para ver las versiones de la plataforma Chrome, consulte https://chromereleases.googleblog.com/. Si un dispositivo ya tiene una versión con dicho prefijo, no tiene lugar ninguna actualización. Si el dispositivo tiene una versión posterior, permanece en la versión posterior. Revertir a la versión anterior no se admite. Está vacío de forma predeterminada.

    Utilice uno de los siguientes formatos de versión:

    • ”“ o no configurado: Actualizar a la versión más reciente disponible.
    • 10323.: Actualizar a cualquier versión menor de 10323 (por ejemplo, 10323.58.0).
    • 10323.58.: Actualizar a cualquier versión menor de 10323.58 (por ejemplo, 10323.58.0).
    • 10323.58.0: Actualizar solamente a esta versión específica.
    • Demora de la actualización: Especifica cuánto tiempo puede esperar un dispositivo antes de descargar una actualización. La demora se cuenta desde el momento en que la actualización se implementa por primera vez en el servidor. El dispositivo puede esperar una parte de este periodo en minutos y la parte restante en cantidad de comprobaciones de actualización. El valor de duración máxima es 14 días. El valor predeterminado es 0.

Parámetros de administración de energía para dispositivos Chromebook

Puede controlar cómo responden los dispositivos Chromebook a los períodos de inactividad cuando están conectados a la corriente o utilizan la batería. Para definir la administración de energía, vaya a Configurar > Directivas de dispositivo, agregue la directiva Administración de energía y configure estos parámetros.

Imagen de la pantalla de configuración de Directivas de dispositivo

Los siguientes parámetros aparecen para la batería y la corriente alterna.

  • Demora de inactividad: La cantidad de tiempo sin intervención del usuario que transcurre antes de que se tome la acción de inactividad. Especifíquelo en milisegundos. El valor predeterminado es 0.

  • Demora de advertencia de inactividad: La cantidad de tiempo sin intervención del usuario que transcurre antes de mostrar un diálogo de advertencia. Especifíquelo en milisegundos. El valor predeterminado es 0.

  • Demora de oscurecimiento de pantalla: La cantidad de tiempo sin intervención del usuario que transcurre antes de que se oscurezca la pantalla. Especifíquelo en milisegundos. El valor predeterminado es 0.

  • Demora de apagado de pantalla: La cantidad de tiempo sin intervención del usuario que transcurre antes de que se apague la pantalla. Especifíquelo en milisegundos. El valor predeterminado es 0.

  • Acción de inactividad: Acción a tomar una vez transcurrida la demora de inactividad: Suspender, Cerrar sesión, Apagar, No hacer nada. El valor predeterminado es Suspender.

Directiva Restricciones a aplicaciones para Chrome OS

La directiva “Restricciones a aplicaciones” se utiliza para especificar las aplicaciones Chrome y Android permitidas o bloqueadas en el sistema operativo Chrome OS. Si habilita App Runtime for Chrome (ARC) en la directiva Restricciones, puede configurar las restricciones a aplicaciones Android en Aplicaciones Android de la directiva “Restricciones a aplicaciones” en XenMobile.

Para configurar las restricciones a aplicaciones, vaya a Configurar > Directivas de dispositivo, agregue la directiva “Restricciones a aplicaciones” y configure estos parámetros para Chrome OS.

Parámetros de las aplicaciones Chrome:

Se consideran aplicaciones Chrome tanto las aplicaciones en sí como las extensiones.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Instalación de aplicaciones permitida: Un parámetro global para permitir o bloquear la instalación de todas las aplicaciones Chrome en dispositivos Chromebook. Si elige Permitida, puede crear una lista de aplicaciones bloqueadas específicas. Si elige No permitida, puede crear una lista de aplicaciones permitidas específicas. Para ello, haga clic en Agregar en Aplicaciones Chrome. Para usar los parámetros especificados en su cuenta de Chrome, seleccione No especificado. El valor predeterminado es Permitida.
  • Aplicaciones Chrome: Para agregar las aplicaciones Chrome que son excepciones a su selección en Instalación de aplicaciones permitida, haga clic en Agregar y especifique estos parámetros:

    • Nombre de la aplicación: Un nombre que se usa para identificar una aplicación en la consola de XenMobile.
    • ID de la aplicación: El identificador único de la aplicación Chrome. No incluya el prefijo “app:”.

    Para buscar un ID de aplicación Chrome: Vaya a la tienda de Chrome, https://chrome.google.com/webstore, y busque la aplicación. Haga clic en la aplicación para ver la URL y el ID de la aplicación en la barra de direcciones. La última parte de la dirección es el ID de la aplicación. Por ejemplo, si la URL es https://chrome.google.com/webstore/detail/citrix-intranet/hjacpdaecmilhndcbllidcgaaicdlpff, el ID de la aplicación es “hjacpdaecmilhndcbllidcgaaicdlpff”.

    Solo puede buscar las aplicaciones Chrome desde Chromebook. En cambio, puede buscar extensiones Chrome desde cualquier plataforma.

    • Instalación de aplicaciones permitida: Crea una excepción al parámetro global anterior. Este parámetro permite o bloquea la aplicación Chrome especificada.
    • Instalada: Si está activado, obliga a la instalación de la aplicación Chrome cuando se trata de usuarios de Chromebook inscritos. Si está desactivado y la aplicación está instalada, esta se desinstala. Si está desactivado y la aplicación ya no está configurada mediante la directiva, la aplicación permanece instalada. El valor predeterminado es No (desactivado).
    • Anclado: Si está activado, ancla la aplicación en la barra de tareas de Chromebook. El valor predeterminado es No (desactivado).
    • URL: Especifica la URL desde la que los usuarios pueden descargar una aplicación que no está alojada en Chrome Web Store.
    • Directiva de extensión: Define, en formato JSON, la directiva específica de la aplicación definida por esta aplicación. Para obtener más información, consulte Manifest for storage areas.

Parámetros de las aplicaciones Android:

Para permitir que los usuarios de Chromebook inscritos ejecuten aplicaciones Android, configure la directiva Restricciones como se indica en la sección “Permitir a los usuarios de Chromebook inscritos ejecutar aplicaciones Android”, indicada a continuación. Para configurar las restricciones a aplicaciones ARC, haga clic en Agregar en “Aplicaciones Android” y especifique estos parámetros.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • ID de la aplicación: Un identificador de aplicación único para una aplicación Android que se ejecuta en Chrome OS. Por ejemplo: com.android.camera. No incluya el prefijo “app:”.

    Para buscar un ID de aplicación Android, vaya a la tienda de Google Play, https://play.google.com/store, y busque la aplicación. Haga clic en la aplicación para ver el ID de la aplicación en la barra de direcciones. La parte después de “id =” es el ID de la aplicación. Por ejemplo, si la URL es https://play.google.com/store/apps/details?id=com.citrix.Receiver, el ID de la aplicación es com.citrix.Receiver.

  • Instalada: Especifica si obligar la instalación de la aplicación Android cuando se trata de usuarios de Chromebook inscritos. Si está desactivado y la aplicación está instalada, esta se desinstala. Si está desactivado y la aplicación ya no está configurada mediante la directiva, la aplicación permanece instalada. El valor predeterminado es No (desactivado).
  • Anclado: Si está activado, ancla la aplicación Android en la barra de tareas de Chromebook. El valor predeterminado es No (desactivado).

Permitir a los usuarios de Chromebook inscritos ejecutar aplicaciones Android

Para permitir que los usuarios de Chromebook inscritos ejecuten las aplicaciones Android, vaya a Configurar > Directivas de dispositivo y agregue una directiva Restricciones para Chrome OS y habilite el parámetro Habilitar App Runtime for Chrome (ARC).

  • Habilitar App Runtime for Chrome (ARC): Si está activado, permite que los usuarios de Chromebook inscritos ejecuten aplicaciones Android. Especifique las aplicaciones ARC en la directiva “Restricciones a aplicaciones” de XenMobile. Requiere la configuración de G Suite Chrome. ARC no está disponible si están habilitados el modo efímero o el inicio de sesión múltiple en la sesión actual de usuario. Si está desactivado, los usuarios empresariales de Chromebook no pueden ejecutar aplicaciones Android. El valor predeterminado es .

Administrar marcadores para dispositivos Chromebook

Puede implementar una carpeta de marcadores en dispositivos Chromebook. Para administrar los marcadores, vaya a Configurar > Directivas de dispositivo, agregue la directiva “Marcadores administrados” y configure estos parámetros:

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Nombre de carpeta: El nombre de la carpeta de marcadores a implementar en dispositivos Chromebook.
  • Nombre: El nombre del marcador.
  • Marcador: La dirección URL del marcador.

Problemas resueltos en XenMobile Service 10.18.4

Después de eliminar un dispositivo Chromebook o Workspace Hub con la acción de XenMobile, el dispositivo sigue apareciendo en la consola de XenMobile hasta que la actualice. [CXM-46418]

En dispositivos iOS inscritos, cuando cambia los usuarios a otro grupo de seguridad de Active Directory, XenMobile Service no detecta el cambio. Debe actualizar la pertenencia al grupo de entrega o enviar nuevas directivas a los dispositivos. [CXM-47370]

Después de una actualización a XenMobile Service 10.18.2 o 10.18.3, falta el botón Exportar en las páginas Administrar > Usuarios y Administrar > Invitaciones de inscripción. [CXM-47974]

Compartir pantalla de dispositivo (función de Tech Preview)

Ahora puede ver la pantalla de un dispositivo remoto desde la consola de XenMobile Service. Se admite el uso compartido de pantallas en dispositivos iOS administrados por MDM. Para habilitar la función de compartir pantallas, los usuarios deben ejecutar la aplicación AetherPal Mobile Support Management (AetherPalMSM) en el dispositivo remoto. Puede ver la pantalla del dispositivo remoto en el modo de solo lectura.

Esta característica ofrece la posibilidad de ver en tiempo real los problemas informados; también permite diagnosticarlos de manera eficiente y ayudar a solucionarlos.

Compruebe que el dispositivo remoto cumple estos requisitos previos:

  • Dispositivos iOS administrados por MDM
  • Envíe una solicitud de activación en el sitio de activación de AetherPal. Si lo prefiere, escriba por correo electrónico a <citrixsales\@aetherpal.com>.
  • El dispositivo remoto debe tener conectividad de salida a https://xenmobile.aetherpal.com.
  • El dispositivo remoto debe ejecutar iOS 11 o una versión posterior. En los dispositivos que ejecutan iOS desde las versiones 9.3 hasta la versión 11, no se admite el streaming en directo de la pantalla; sin embargo, el usuario puede compartir capturas de pantalla estáticas.

Para configurar la pantalla compartida, primero defina la aplicación AetherPalMSM y la directiva de configuración correspondiente, y luego envíelas al dispositivo del usuario.

  1. Agregue la aplicación AetherPalMSM. Siga los pasos que se describen en Agregar una aplicación de tienda pública en el artículo “Agregar aplicaciones”. En la página Información de la aplicación, en Plataformas, elija iOS y desmarque las demás plataformas.
  2. Agregue la directiva “Configuración de aplicaciones” para la aplicación AetherPalMSM. Siga los pasos descritos en Directiva de configuración de aplicaciones.

    • En la página Directiva de configuración de aplicaciones, en Plataformas, elija iOS y desmarque las demás plataformas.
    • En el menú desplegable Identificador, seleccione la aplicación que definió anteriormente.
    • Escriba el Contenido del diccionario proporcionado por AetherPal en la activación del cliente.
  3. Haga la implementación en el grupo de entrega. Implemente la aplicación AetherPalMSM como una aplicación obligatoria. Además, implemente la directiva de dispositivo “Configuración de aplicaciones”. Siga los pasos que se describen en Implementar recursos.

    La aplicación AetherPalMSM ya está disponible en el dispositivo remoto cuando el dispositivo se conecta a XenMobile Service.

    • Indique al usuario que acepte la aplicación y permita su instalación.
    • Indique al usuario que abra la aplicación. Se carga la información de aprovisionamiento proporcionada a través de la directiva “Configuración de aplicaciones” y el dispositivo se inscribe en el servidor AetherPal.
    • Indique al usuario que inicie la pantalla compartida desde la aplicación AetherPalMSM en el dispositivo remoto, como se describe en la guía Citrix-Remote Management Guide (enlace de descarga) desde AetherPal.
  4. Inicie el uso compartido de pantalla. Desde la consola de XenMobile Service, vaya a la pestaña Supervisar, busque al usuario y seleccione el dispositivo cuyos problemas quiere solucionar. En la página Detalles del dispositivo, haga clic en Compartir pantalla. Este botón solo se habilita si el dispositivo está administrado por MDM y está inscrito en el servidor AetherPal.

    Imagen de la pantalla de configuración "Supervisar"

  5. Se abre una nueva ficha en el navegador. Muestra el estado de su conexión al dispositivo remoto.

    Imagen de la pantalla de configuración "Supervisar"

  6. Una vez se establece la conexión, aparece un PIN de 4 dígitos. Comparta este PIN con el usuario. Indique al usuario que escriba este PIN en la aplicación AetherPalMSM para permitir compartir la pantalla.

    Imagen de la pantalla de configuración "Supervisar"

    La pantalla del dispositivo remoto ya está disponible en su navegador.

    Imagen de la pantalla compartida en el dispositivo

    Puede compartir sus comentarios sobre la utilidad de esta función en el foro de Citrix Cloud.

XenMobile Service 10.18.3

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Configurar el acceso de socios G Suite para XenMobile

Algunas características para la administración de dispositivos de punto final que ofrece Chrome usan las API de socios de Google para la comunicación entre XenMobile y el dominio de G Suite. Por ejemplo, XenMobile requiere las API para las directivas de dispositivo que administran las funciones de Chrome (como el modo incógnito y el modo invitado).

Para habilitar las API de los socios, configure su dominio de G Suite en la consola de XenMobile y luego configure su cuenta de G Suite.

Configurar el dominio de G Suite en XenMobile

Para permitir que XenMobile se comunique con las API en su dominio de G Suite, vaya a Parámetros > Configuración de Google Chrome y defina estos parámetros.

Imagen de la pantalla de configuración de Google Chrome

  • Dominio de G-Suite: El dominio de G Suite que aloja las API que necesita XenMobile.
  • Administrador de G-Suite: La cuenta de administrador del dominio de G Suite.
  • ID de cliente de G-Suite: El ID de cliente para Citrix. Use este valor cuando configure el acceso de socios (partners) a su dominio de G Suite.
  • ID de G-Suite Enterprise: El ID de empresa de la cuenta, rellenado desde su cuenta empresarial de Google.

Habilitar el acceso de socios para dispositivos y usuarios en su dominio de G Suite

  1. Inicie una sesión en la Consola de administración de Google: https://admin.google.com

  2. Haga clic en Administración de dispositivos.

    Imagen de la consola de administrador de Google

  3. Haga clic en Administración de Chrome.

    Imagen de la consola de administrador de Google

  4. Haga clic en Configuración de usuario.

    Imagen de la consola de administrador de Google

  5. Busque Administración de Chrome ‑ Acceso de partners.

    Imagen de la consola de administrador de Google

  6. Marque la casilla Habilitar Administración de Chrome - Acceso de partners.

  7. Acepte el indicador de que comprende y quiere habilitar el acceso de socios. Haga clic en Guardar.

  8. En la página de administración de Chrome, haga clic en Configuración del dispositivo.

    Imagen de la consola de administrador de Google

  9. Busque Administración de Chrome ‑ Acceso de partners.

    Imagen de la consola de administrador de Google

  10. Marque la casilla Habilitar Administración de Chrome - Acceso de partners.

  11. Acepte el indicador de que comprende y quiere habilitar el acceso de socios. Haga clic en Guardar.

  12. Vaya a la página Seguridad y haga clic en Configuración avanzada.

    Imagen de la consola de administrador de Google

  13. Haga clic en Administrar el acceso de cliente API.

  14. En la consola de XenMobile, vaya a Parámetros > Configuración de Google Chrome y copie el valor de ID de cliente de G-Suite. A continuación, vuelva a la página Administrar el acceso de cliente API y pegue el valor copiado en el campo Nombre de cliente.

  15. En Uno o más ámbitos API, agregue la URL: https://www.googleapis.com/auth/chromedevicemanagementapi

    Imagen de la consola de administrador de Google

  16. Haga clic en Autorizar.

    Aparece el mensaje de configuración guardada.

Más parámetros de administración de dispositivos para Chrome OS

En XenMobile, la directiva Restricciones tiene nuevos parámetros que permiten administrar propiedades específicas del usuario para dispositivos Chromebook desde la consola de XenMobile.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Inhabilitar modo incógnito. Si está activado, los usuarios de dispositivos Chromebook no pueden abrir una ventana del modo incógnito en Chrome. Requiere la configuración de G Suite Chrome. El valor predeterminado es No.
  • Inhabilitar el modo de usuario invitado: Si está activado, los usuarios invitados no pueden iniciar sesión en los dispositivos Chromebook. Requiere la configuración de G Suite Chrome. El valor predeterminado es No.
  • Redirección de IdP de inicio de sesión SSO: Si está activado, habilita el inicio de sesión único basado en SAML. Requiere la configuración de G Suite Chrome. El valor predeterminado es .
  • Comportamiento de las cookies de inicio de sesión único (SSO): Si está activado, transfiere las cookies establecidas por el proveedor de identidades de SAML a los perfiles de usuario cada vez que un usuario inicia sesión con credenciales de SAML. Si está desactivado, las cookies se transfieren solo durante el primer inicio de sesión. Requiere la configuración de G Suite Chrome. El valor predeterminado es .

Directiva Protección de aplicaciones para dispositivos Windows 10

La directiva Protección de aplicaciones está ahora disponible para dispositivos Windows 10. Esta directiva se aplica solo al explorador Microsoft Edge. La Protección de aplicaciones de Windows Defender protege su entorno de los sitios que su organización no ha definido como sitios de confianza. Cuando los usuarios visitan sitios que no figuran en su límite de red aislada, los sitios se abren en una sesión de navegación virtual en Hyper-V. Los recursos de la nube empresarial definen los sitios de confianza.

Esta función solo está disponible para dispositivos empresariales Windows 10 (64 bits) y la versión 1709 del sistema operativo. Se requiere un reinicio del dispositivo para instalar la Protección de aplicaciones de Windows Defender.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Protección de aplicaciones. Habilita la Protección de aplicaciones. El valor predeterminado es No (desactivado).
    • Recursos de nube empresarial: Una lista de dominios empresariales en la nube, separados por comas.
  • Comportamiento del portapapeles: Controla en qué direcciones se puede copiar y pegar el contenido. Las opciones son las siguientes:

    • No configurado
    • Permitir copiar y pegar desde el explorador Web al PC solamente: Permite a los usuarios copiar y pegar contenido solo desde su explorador Web a su PC.
    • Permitir copiar y pegar desde el PC al explorador Web solamente: Permite a los usuarios copiar y pegar contenido solo desde su PC a su explorador Web.
    • Permitir copiar y pegar entre el PC y el explorador Web: Permite a los usuarios copiar y pegar contenido libremente entre su PC y el explorador Web.
    • Bloquear operaciones de copiar y pegar entre el PC y el explorador Web: No permite a los usuarios copiar ni pegar contenido entre su PC y el explorador Web.
  • Contenido del portapapeles: Controla el contenido que pueden copiar y pegar los usuarios. Las opciones son las siguientes:
    • No configurado
    • Permitir copiar texto: Permite a los usuarios copiar solo texto.
    • Permitir copiar imágenes: Permite a los usuarios copiar solo imágenes.
    • Permitir copiar texto e imágenes: Permite a los usuarios copiar texto e imágenes.
  • Bloquear contenido externo en sitios de la empresa: Si está activado, la Protección de aplicaciones de Windows Defender impide que el contenido de sitios no aprobados se cargue en sitios de la empresa. El valor predeterminado es No (desactivado).
  • Retener datos del explorador generados por el usuario: Si está activado, permite guardar los datos del usuario creados durante una sesión de navegación virtual de la Protección de aplicaciones. Estos datos incluyen elementos como contraseñas, favoritos y cookies. El valor predeterminado es No (desactivado).

Nuevos parámetros de administración de dispositivos para iOS 11.3

La directiva Restricciones contiene nuevas restricciones para dispositivos iOS 11.3 y versiones posteriores. Las restricciones son las siguientes:

  • Permitir modo restringido de USB: Si está desactivado, el dispositivo siempre puede conectarse a los accesorios USB mientras está bloqueado. Está activada de manera predeterminada. Disponible solamente para dispositivos supervisados iOS 11.3 y versiones posteriores.
  • Forzar demora de actualizaciones de software: Si está activado, retrasa el momento en que el usuario ve las actualizaciones de software. Con esta restricción activada, el usuario no ve una actualización de software hasta que transcurra la cantidad especificada de días después de la fecha de publicación de la actualización. El valor predeterminado es No (desactivado). Disponible solamente para dispositivos supervisados iOS 11.3 y versiones posteriores.
  • Demora forzosa para actualizaciones de software (días): Permite especificar una cantidad de días para retrasar una actualización de software en el dispositivo. La demora máxima es de 90 días. El valor predeterminado es de 30 días. Disponible solamente para dispositivos supervisados iOS 11.3 y versiones posteriores.
  • Forzar permiso del aula para abandonar clases: Si está activado, un estudiante matriculado en un curso no gestionado con Aula debe solicitar el permiso del profesor o instructor cuando intenta abandonar el curso. El valor predeterminado es No (desactivado). Disponible solamente para dispositivos supervisados iOS 11.3 y versiones posteriores.

Imagen de la pantalla de configuración de Directivas de dispositivo

Otras funciones nuevas

  • Clips Web en la directiva Diseño de pantalla inicial. Cuando configure la directiva Diseño de pantalla inicial, ahora puede seleccionar Clip Web en el menú Tipo. En Valor, escriba la URL del clip Web. Si existe más de un valor de clip Web con la misma URL, el comportamiento no está definido en dispositivos iOS 11.3 y versiones posteriores.
  • Instrucciones de la plantilla de lista blanca. Al agregar dispositivos Citrix Ready Workspace Hub en la consola de XenMobile, en Administrar > Dispositivos, la plantilla para agregar dispositivos de lista blanca en bloque ahora ofrece instrucciones para cada campo.

Problemas resueltos en XenMobile Service 10.18.3

Después de utilizar una acción de XenMobile para eliminar un dispositivo Chromebook o Workspace Hub, el dispositivo sigue apareciendo en la consola de XenMobile hasta que la actualice. [CXM-46418]

Problemas conocidos en XenMobile Service 10.18.3

Después de eliminar un administrador de Citrix Cloud que tiene un dispositivo inscrito, XenMobile no actualiza el rol del usuario en la consola de XenMobile hasta que el administrador vuelva a iniciar sesión desde Secure Hub o Self Help Portal. [CXM-45730]

XenMobile Service 10.18.2

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Administración de dispositivos Workspace Hub

Importante: Por el momento, el respaldo para Workspace Hub solo está disponible para los clientes de EE. UU. Todos los demás clientes obtendrán respaldo completo en una versión futura.

Con los Citrix Ready Workspace Hubs, los usuarios pueden mover las sesiones de aplicaciones y escritorios virtuales desde un dispositivo móvil que ejecuta Citrix Receiver a un concentrador de espacio de trabajo Citrix Ready Workspace Hub. Citrix Ready Workspace Hub es un dispositivo Raspberry Pi que tiene un teclado, un mouse, un monitor y cualquier otro accesorio conectado a él. Puede administrar dispositivos Citrix Ready Workspace Hub desde la consola de XenMobile Service. Para obtener más información sobre Citrix Ready Workspace Hub, consulte esta entrada del blog de Citrix.

Al utilizar XenMobile Service para administrar Citrix Ready Workspace Hub, puede mantener actualizados sus dispositivos con las características y revisiones de seguridad más recientes. Si es necesario, también puede realizar acciones de seguridad (como borrados completos o reinicios). Para obtener más detalles acerca de las ventajas de la protección de datos y la administración unificada de dispositivos de punto final (UEM) que ofrece XenMobile Service, consulte este caso de uso en el sitio Web de Citrix.

Para usar un dispositivo Citrix Ready Workspace Hub, agréguelo a la tabla “Lista blanca de dispositivos” en la consola de XenMobile. Dispone de dos métodos para agregar dispositivos a la tabla.

Para agregar Citrix Ready Workspace Hubs a XenMobile Server manualmente

Para inscribir un dispositivo Citrix Ready Workspace Hub en XenMobile, agréguelo a la tabla “Lista blanca de dispositivos” en la consola de XenMobile. Dispone de dos métodos para agregar dispositivos a la tabla.

  1. En la consola de XenMobile, vaya a Administrar > Dispositivos.

    Imagen de la pantalla de configuración de dispositivos

  2. Haga clic en Lista blanca de dispositivos en la parte superior.

    Imagen de la pantalla de configuración de dispositivos

  3. Haga clic en Agregar. En la página que se abre, escriba la siguiente información.

    • Plataforma del dispositivo: Seleccione Workspace Hub.
    • Tipo de ID del dispositivo. Seleccione el método para identificar dispositivos. Citrix Ready Workspace Hub solo respalda las direcciones MAC.
    • ID del dispositivo. Escriba el identificador correspondiente del tipo que seleccionó previamente.
    • Usuario asociado: Usuario para asociar con el Citrix Ready Workspace Hub. El usuario asociado con el dispositivo puede ser un pseudo-usuario, tal como una cuenta de servicio. El usuario seleccionado se utiliza para la inscripción, el envío de directivas y la implementación de acciones de seguridad. Un solo usuario puede asociarse con múltiples dispositivos. Este puede ser un usuario local o un usuario LDAP ya configurado en la consola de XenMobile Server. Si desea asociar el Citrix Ready Workspace Hub con un usuario local, elija Localen Seleccionar dominio. Introduzca el nombre de usuario en Buscar usuario y selecciónelo. Si desea asociar el Citrix Ready Workspace Hub con un usuario LDAP, elija el dominio correspondiente en Seleccionar dominio. Introduzca un usuario en Buscar usuario y seleccione un usuario.
    • Seleccionar dominio: Seleccione el dominio que quiere usar para buscar usuarios.
    • Buscar usuario: Escribe el nombre del usuario que quiere asociar con este dispositivo y haga clic en Buscar. Seleccione al usuario en el cuadro de resultados de abajo y aparecerá en el cuadro Usuario asociado.

    Imagen de la pantalla de configuración de dispositivos

  4. Haga clic en Guardar. El dispositivo se agrega a la tabla.

Para importar o exportar Citrix Ready Workspace Hubs en bloque

  1. En la consola de XenMobile, vaya a Administrar > Dispositivos. Haga clic en Lista blanca de dispositivos y luego haga clic en Importar.

    Imagen de la pantalla para importar la lista blanca de dispositivos

  2. Haga clic en Descargar para descargar una plantilla .csv con la que importar los dispositivos. Las columnas del archivo son las mismas que los campos de la operación anterior.

  3. Complete el formulario y guárdelo. Cuando termine, haga clic en Elegir archivo y seleccione la plantilla.

  4. Haga clic en Importar. Todos los Citrix Ready Workspace Hubs que haya en el archivo de plantilla se agregan a la tabla.

  5. Para exportar la lista de Citrix Ready Workspace Hubs para modificarla, haga clic en Exportar.

Configurar un Citrix Ready Workspace Hub

Después de configurar XenMobile Service para inscribir sus Citrix Ready Workspace Hubs, configure el propio Citrix Ready Workspace Hub. Para obtener más información sobre cómo configurar el dispositivo, consulte la Base de conocimiento deStratodesk.

Si es la primera vez que usa el dispositivo, configure Central Management en el asistente de primer uso. Introduzca https://manageiot.xm.cloud.com:443/easyadmin/servlet/XmlRPC como Management URL y haga clic en Finish. El dispositivo se anuncia y se inscribe en XenMobile Service.

Imagen del asistente de No Touch

Imagen de No Touch Central Management

Si el dispositivo fue configurado, o si no desea usar el asistente, vaya a Services > No Touch Center. Configure Management URL como lo hizo previamente y haga clic en Save. Haga un anuncio manual: vaya a Information, en el panel izquierdo, y haga clic en Announce.

Imagen de No Touch Center

Imagen del panel Information de No Touch

Para administrar dispositivos Citrix Ready Workspace Hub

  1. Para ver y administrar los Citrix Ready Workspace Hubs en XenMobile después de la inscripción, vaya a Administrar > Dispositivos. Aparecerá la tabla Dispositivos. Seleccione Workspace Hub a la izquierda para ver el dispositivo recién inscrito. Elija el Citrix Ready Workspace Hub que quiere administrar y después haga clic en Modificar para ver y confirmar los detalles del dispositivo.

    Cuando se marca la casilla de verificación situada junto a un dispositivo, el menú de opciones aparece encima de la lista de dispositivos. Si hace clic en cualquier lugar de la lista, el menú de opciones aparece a la derecha de la lista.

    Imagen de la pantalla de configuración de dispositivos

  2. La página General muestra una lista de los Identificadores de dispositivo en función del tipo de plataforma, tales como el número de serie, el ID de ActiveSync y otra información. Para Propietario del dispositivo, seleccione Empresa o BYOD.

    Asimismo, la página General muestra una lista de las propiedades de Seguridad de que está dotado el dispositivo (como el ID seguro, el bloqueo del dispositivo y la omisión del bloqueo de activación), así como otra información en función del tipo de plataforma.

  3. Las secciones restantes de Detalles del dispositivo contienen información resumida acerca del dispositivo.

    • Directivas asignadas: Muestra la cantidad de directivas asignadas, incluidas las directivas implementadas, pendientes y fallidas. También muestra el nombre, el tipo y la última información implementada de cada directiva.
    • Aplicaciones. Muestra las aplicaciones que están instaladas, pendientes de instalar o cuya instalación haya fallado.
    • Grupos de entrega: Muestra la cantidad de grupos de entrega en estado correcto, pendiente y fallido. Indica el nombre del grupo de entrega y la hora de cada implementación.

También puede realizar acciones de seguridad (como borrados completos o reinicios). Para obtener información acerca de las acciones de seguridad, consulte Acciones de seguridad.

Directiva Configuración de aplicaciones

Use la directiva “Configuración de aplicaciones” para implementar la configuración de Citrix Receiver en dispositivos Citrix Ready Workspace Hub. Vaya a Configurar > Directivas de dispositivo, agregue la directiva Configuración de aplicaciones y, en “Plataformas”, seleccione Workspace Hub. Configure estos parámetros de Workspace Hub:

  • Modo de conexión: Seleccione Citrix Receiver.
  • Nombre de la conexión: Escriba un nombre descriptivo para la conexión.
  • Destino de la conexión: Escriba la dirección URL que se va a cargar en la conexión.

Puede que algunas aplicaciones requieran parámetros adicionales. Para agregar cada parámetro de configuración, haga clic en Agregar y lleve a cabo lo siguiente:

  • Nombre del parámetro: Escriba el nombre de la clave de un parámetro de aplicación para el dispositivo Citrix Ready Workspace Hub.
  • Valor: Escriba el valor del parámetro especificado.

Imagen de la pantalla de configuración de Directivas de dispositivo

Después de completar la configuración, elija los grupos de entrega. Para obtener más información, consulte Agregar una directiva de dispositivo.

Para implementar y actualizar aplicaciones para Citrix Workspace Hub

  1. Debido a que los dispositivos Citrix Workspace Hub solo permiten la implementación y la actualización de un solo archivo, primero empaquete todas sus aplicaciones en un archivo Squash FS.

    Para obtener más información sobre cómo crear un archivo Squash FS, consulte la documentacion de Squash FS.

    Nota: El archivo de salida debe ser .img.

  2. En su servidor XenMobile Server, vaya a Configurar > Aplicaciones y haga clic en Agregar. Haga clic en Empresa.

  3. Escriba un nombre y una descripción para la aplicación, y luego desmarque todas las plataformas, excepto Workspace Hub. Haga clic en Siguiente.

  4. En la página de la aplicación de empresa Workspace Hub, haga clic en Cargar. Vaya al archivo .img que creó anteriormente y haga clic en Abrir.

    Imagen de la pantalla de configuración de Directivas de dispositivo

  5. Haga clic en Siguiente. La página Aprobaciones no funciona para Citrix Workspace Hub.

  6. Haga clic en Siguiente. Aparecerá la página Asignaciones de grupo de entrega.

  7. Junto a Elegir grupos de entrega, escriba el nombre de un grupo de entrega para buscarlo, o bien seleccione un grupo o varios de la lista. Los grupos que seleccione aparecerán en la lista Grupos de entrega a recibir asignaciones de aplicaciones.

    Nota: Las aplicaciones siempre se entregan al dispositivo asignado al grupo de entrega. El hecho de que la aplicación sea opcional u obligatoria no cambia este comportamiento, porque no hay tiendas para dispositivos Citrix Workspace Hub.

  8. Haga clic en Guardar.

Una vez que las aplicaciones se carguen en XenMobile, los dispositivos Citrix Workspace Hub recibirán la actualización cuando se reinicien.

Administración de Apple TV

Ahora puede inscribir dispositivos Apple TV en XenMobile como parte del programa Device Enrollment Program (DEP) de Apple. En el marco de esta inscripción, puede realizar estas acciones:

  • Configurar la inscripción DEP
  • Configurar y enviar la directiva de restricciones
  • Borrar, revocar y reiniciar un dispositivo Apple TV inscrito

Requisitos previos

Para definir la configuración de Apple TV

  1. Siga los pasos de Implementación de dispositivos iOS a través del programa DEP de Apple para asignar los dispositivos Apple TV al servidor XenMobile Server.

  2. En la consola de XenMobile, vaya a Parámetros > Apple Device Enrollment Program.

  3. En la página que se abre, en Parámetros, seleccione Apple TV. Configure los siguientes parámetros:

    • Requerir inscripción del dispositivo: Impide que los usuarios omitan la inscripción.
    • Requerir credenciales para inscripción de dispositivos: Pide credenciales durante la inscripción. Cuando este parámetro está desactivado, Apple TV se inscribe como “usuario predeterminado de Device Enrollment Program”.
    • Esperar a que se complete la configuración: El dispositivo espera en la pantalla del asistente de configuración hasta que todos los recursos se implementen.
    • Modo supervisado: Concede más capacidades al administrador en la configuración de restricciones.
    • Permitir quitar el perfil de inscripción: Permite a los usuarios eliminar los perfiles de inscripción.
    • Permitir emparejamiento de dispositivos: Permite que los dispositivos inscritos a través del programa de inscripción de dispositivos DEP (Device Enrollment Program) se administren mediante herramientas de Apple (como iTunes y Apple Configurator).

    Imagen de la pantalla de configuración de ajustes de Apple DEP

  4. En Opciones del asistente de configuración, seleccione Apple TV y, a continuación, seleccione las pantallas de configuración que quiere omitir durante la inscripción de Apple TV.

    Imagen de la pantalla de configuración de ajustes de Apple DEP

  5. Haga clic en Guardar.

  6. En su servidor, vaya a Configurar > Directivas de dispositivo. Haga clic en Agregar y seleccione la directiva Restricciones.

  7. En Plataformas, seleccione TV OS y configure las restricciones que quiere aplicar:

    • Parámetros de seguridad y multimedia: Permitir
      • Código de acceso para enlazar con AirPlay por primera vez: Requerir que los dispositivos de usuario con AirPlay habilitado sean verificados con un código de uso único en pantalla para poder usar AirPlay (iOS 7.0 y versiones posteriores).
      • Contenido sexual explícito en iBooks: Permitir la descarga de material explícito desde iBooks (iOS 6.0 y versiones posteriores).
      • Música, podcasts y contenido de iTunes U explícito: Permitir material explícito en los dispositivos de los usuarios.
      • Compras en la aplicación: Permitir que los usuarios hagan compras desde la aplicación.
        • Requerir contraseña de iTunes para todas las compras: Solicitar una contraseña para las compras desde la aplicación. El valor predeterminado es la restricción de esta función, lo que significa que no se pide contraseña para realizar compras desde la aplicación (iOS 5.0 y versiones posteriores).
    • Parámetros solo para dispositivos supervisados: Permitir
      • Modificación de nombre de dispositivo: Permitir que los usuarios cambien el nombre de su dispositivo.
      • Permitir emparejamiento con la aplicación Apple TV Remote: Permitir que los usuarios emparejen su dispositivo con la aplicación Apple TV Remote.
      • Filtro de lenguaje explícito de Siri: Habilitar el filtro de lenguaje explícito de Siri. El valor predeterminado es la restricción de esta función, lo que significa que no se aplica ningún filtro de palabras malsonantes.

        Para obtener más información sobre la seguridad y Siri, consulte Directivas de Siri y dictado.

      • Habilitar AirPlay: Permitir que los usuarios transmitan contenido o reflejen la pantalla de su dispositivo iOS en este dispositivo.
      • Uso de aplicaciones restringidas: Permitir que los usuarios usen todas las aplicaciones, o bien, usen o no usen las aplicaciones en función de los ID de paquete que proporcione. Se aplica solo a los dispositivos supervisados.

        Después de configurar la directiva de restricciones para bloquear algunas aplicaciones y, a continuación, implementar la directiva: Si quiere permitir más adelante algunas o todas esas aplicaciones, cambiar y volver a implementar la directiva de restricciones no cambia esas restricciones. En este caso, iOS no aplica los cambios en el perfil de iOS.

        Si quiere cambiar este parámetro a Permitir solo algunas aplicaciones, antes de implementar esta directiva, indique a los usuarios de los dispositivos inscritos mediante Apple DEP que inicien sesión en sus cuentas de Apple desde el asistente de configuración. De lo contrario, los usuarios podrían tener que inhabilitar la autenticación de dos factores en sus dispositivos para poder iniciar sesión en sus cuentas de Apple y acceder a las aplicaciones permitidas.

    • Configuraciones de directivas
      • Junto a Quitar directiva, haga clic en Seleccionar fecha o Demora hasta la eliminación (en horas).
      • Si hace clic en Seleccionar fecha, haga clic en el calendario para seleccionar la fecha específica de la eliminación.
      • En la lista Permitir al usuario quitar la directiva, haga clic en Siempre, Requerir código de acceso o Nunca.
      • Si hace clic en Requerir código de acceso, junto a Código de acceso para la eliminación, introduzca la contraseña en cuestión.
  8. Haga clic en Siguiente para guardar la directiva.

Acciones de seguridad

Después de que un dispositivo Apple TV se inscriba en XenMobile, los administradores pueden realizar acciones de seguridad en él. Para realizar una acción de seguridad, haga lo siguiente:

  1. En su servidor, vaya a Administrar > Dispositivos.
  2. Seleccione el dispositivo que quiere administrar y haga clic en Proteger. Aparecerá una ventana emergente con las acciones posibles.

    • Revocar: Elimina la administración del dispositivo.
    • Borrado completo: Borra todos los datos que contenga el dispositivo. Todas las directivas y las aplicaciones instaladas se pierden cuando se realiza esta acción.
    • Reiniciar: Reinicia el dispositivo.

    Imagen de la pantalla de configuración de acciones de seguridad

Acceso a las herramientas de XenMobile desde la consola de XenMobile

Ahora XenMobile incluye enlaces a las herramientas de XenMobile desde los lugares de la consola de XenMobile donde necesita cada herramienta:

  • XenMobile Analyzer
    • Necesario para: Identificar y clasificar los posibles problemas que puedan presentarse en la implementación.
    • Acceso desde las páginas Administrar > Dispositivos y Administrar > Usuarios.
  • Portal APNs
    • Necesario para: Enviar una solicitud a Citrix para que firme un certificado APNs que, a continuación, enviará a Apple.
    • Acceso desde la página Parámetros > Certificados y las páginas de configuración de certificados.
  • Servicio MDX
    • Necesario para: Empaquetar aplicaciones y, a continuación, administrarlas a través de XenMobile.
    • Acceso desde la página Configurar > Aplicaciones y las páginas de Agregar aplicación.

Respaldo a dispositivos COSU de Android for Work

Nota: En XenMobile Service y en nuestra documentación, hacemos referencia a Android for Work; sin embargo, la terminología más reciente es Android Enterprise. Para obtener más información, consulte la documentación de Android.

Ahora XenMobile respalda la administración de dispositivos Android for Work de uso único y propiedad de la empresa (Corporate Owned Single Use o COSU). Los dispositivos COSU están diseñados para un uso concreto, como la señalización digital, la impresión de tíquets o la administración de inventario. Los administradores restringen estos dispositivos a una aplicación o conjunto pequeño de aplicaciones. Los administradores también impiden que los usuarios habiliten otras aplicaciones o realicen otras acciones en el dispositivo.

Para obtener información sobre cómo usar XenMobile Management Tools para vincular XenMobile como su proveedor de administración de movilidad empresarial a través de Google Play y crear una empresa de Android for Work, consulte Android for Work.

Para aprovisionar dispositivos COSU

  • Agregue un rol del control de acceso basado en roles (RBAC) que permita a los administradores de XenMobile inscribir dispositivos COSU en su implementación de XenMobile. El rol es nuevo en esta versión de XenMobile Server. Asigne este rol a los usuarios cuyos dispositivos COSU quiera inscribir.
  • Agregue un perfil de inscripción para los administradores de XenMobile a los que permite inscribir dispositivos COSU en su implementación de XenMobile.
  • Incluya en la lista blanca la aplicación o las aplicaciones a las que quiera que acceda el dispositivo COSU.
  • Opcionalmente, configure la aplicación incluida en la lista blanca para permitir el modo de bloqueo de tarea. Cuando una aplicación se encuentra en el modo de bloqueo de tarea, la aplicación queda anclada a la pantalla del dispositivo cuando el usuario la abre. No aparece el botón Inicio y el botón Atrás está desactivado. El usuario sale de la aplicación usando una acción programada en la aplicación, como cerrar sesión.

Requisitos del sistema

El respaldo para inscribir dispositivos Android COSU comienza a partir de Android 6.0.

Agregar el rol COSU

El rol RBAC para inscribir dispositivos COSU permite que XenMobile aprovisione y active silenciosamente una cuenta administrada de Google Play en el dispositivo. A diferencia de las cuentas de usuario administradas de Google Play, estas cuentas de dispositivo identifican un dispositivo que no está vinculado a ningún usuario.

Este rol RBAC se debe asignar a los administradores de XenMobile para permitirles inscribir los dispositivos COSU.

Para agregar el rol RBAC con el que inscribir dispositivos COSU

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Control de acceso basado en roles. Aparecerá la página “Control de acceso basado en rol” con los cuatro roles de usuario predeterminados, además de los roles que haya agregado antes.

  3. Haga clic en Agregar. Aparecerá la página Agregar rol.

  4. Introduzca la siguiente información.

    • Nombre de RBAC: Indique “COSU” u otro nombre descriptivo para el rol. No se puede cambiar el nombre de un rol.
    • Plantilla de RBAC: Elija la plantilla ADMIN.
    • Acceso autorizado: Seleccione Acceso a consola de administración e Inscripción de dispositivos COSU.
    • Funcionalidad de la consola: Seleccione Dispositivos.
    • Aplicar permisos: Seleccione los grupos a los que aplicar el rol COSU. Si hace clic en Para grupos de usuarios específicos, aparecerá una lista de grupos. De esa lista, puede seleccionar un grupo o varios.
  5. Haga clic en Siguiente. Aparecerá la página “Asignación”.

  6. Escriba la siguiente información para asignar el rol a los grupos de usuarios.

    • Seleccionar dominio: En la lista, haga clic en un dominio.
    • Incluir grupos de usuarios: Haga clic en Buscar para ver una lista de todos los grupos disponibles. O bien, escriba un nombre de grupo completo o parcial para limitar la lista solo a los grupos con ese nombre.
    • En la lista que aparezca, seleccione los grupos de usuarios a los que asignar el rol. Cuando se selecciona un grupo de usuarios, este aparece en la lista Grupos de usuarios seleccionados.
  7. Haga clic en Guardar.

Agregar un perfil de inscripción COSU

Cuando su implementación de XenMobile incluye dispositivos COSU, un único administrador de XenMobile o un pequeño grupo de administradores inscriben muchos dispositivos COSU. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario. Asigne este perfil a un grupo de entrega que contenga los administradores que inscriben los dispositivos COSU. De esta forma, incluso aunque el perfil global predeterminado tiene una cantidad limitada de dispositivos permitidos por usuario, los administradores pueden inscribir una cantidad ilimitada de dispositivos. Esos administradores deben estar en el perfil de inscripción de COSU.

  1. Vaya a Configurar > Perfiles de inscripción. Aparecerá el perfil predeterminado “Global”.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción. Compruebe que la cantidad de dispositivos que puedan inscribir los miembros de este perfil sea ilimitada.

    Imagen de la pantalla de configuración de perfiles de inscripción

  3. Haga clic en Siguiente. Aparecerá la pantalla “Asignación de grupos de entrega”.

  4. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos COSU. Luego haga clic en Guardar.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Imagen de la pantalla de configuración de perfiles de inscripción

Incluir aplicaciones en la lista blanca y establecer el modo de bloqueo de tarea

La directiva de quiosco permite incluir aplicaciones en la lista blanca y establecer el modo de bloqueo de tarea. De forma predeterminada, los servicios de Secure Hub y Google Play están incluidos en la lista blanca.

Para agregar la directiva de quiosco

  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar nueva directiva.

  3. Expanda Más y, a continuación, en “Seguridad”, haga clic en Quiosco. Aparecerá la página Directiva de quiosco.

  4. En “Plataformas”, seleccione Android for Work.

  5. En el panel “Información de directiva”, escriba el nombre de la directiva y una descripción opcional.

  6. Haga clic en Siguiente y, a continuación, en Agregar.

  7. Para incluir una aplicación en la lista blanca y permitir o denegar el modo de bloqueo de tarea para esa aplicación

    En la lista, seleccione la aplicación que quiere incluir en la lista blanca.

    Seleccione Permitir para que la aplicación quede anclada en la pantalla del dispositivo cuando el usuario la abra. Elija Denegar para que la aplicación no quede anclada. El valor predeterminado es Permitir.

    Imagen de la pantalla de configuración de Directivas de dispositivo

  8. Haga clic en Guardar.

  9. Para incluir otra aplicación en la lista blanca y permitir o denegar el modo de bloqueo de tarea para esa aplicación, haga clic en Agregar.

  10. Configure las reglas de implementación y elija los grupos de entrega. Para obtener más información, consulte Agregar una directiva de dispositivo.

Nueva configuración de la directiva de restricciones para Android for Work

XenMobile permite establecer una directiva de restricciones para permitir que los usuarios coloquen widgets de la aplicación de perfil de trabajo en la pantalla de inicio del dispositivo. El respaldo a esta directiva comienza a partir de Android 5.0. Hemos agregado la configuración Permitir widgets de la aplicación de perfil de trabajo en la pantalla de inicio.

Para establecer si los usuarios pueden colocar widgets de aplicación de perfil de trabajo en la pantalla de inicio del dispositivo

  1. Vaya a Configurar > Directivas de dispositivo y agregue una directiva de restricciones.

  2. En “Plataformas”, seleccione Android for Work.

    Imagen de la pantalla de configuración de Directivas de dispositivo

  3. Defina Permitir widgets de la aplicación de perfil de trabajo en la pantalla de inicio. Si esta configuración está activada, los usuarios pueden colocar widgets de la aplicación de perfil de trabajo en la pantalla de inicio del dispositivo. Si esta configuración está desactivada, los usuarios no pueden colocar widgets de la aplicación de perfil de trabajo en la pantalla de inicio del dispositivo. El valor predeterminado es No (desactivado). (Android 5.0 y posterior)

  4. Si activa la opción Permitir widgets de la aplicación de perfil de trabajo en la pantalla de inicio, debe seleccionar, de la lista, la aplicación cuyos widgets quiere permitir en la pantalla de inicio. Haga clic en Guardar. Repita estos pasos para todas las aplicaciones cuyos widgets quiera permitir.

  5. Haga clic en Siguiente.

  6. Configure las reglas de implementación y elija los grupos de entrega. Para obtener más información, consulte Agregar una directiva de dispositivo.

Aprovisionamiento en bloque de dispositivos Windows 10

Importante: Por el momento, el respaldo para dispositivos Windows 10 solo está disponible para los clientes de EE. UU. Todos los demás clientes tendrán respaldo completo en una versión futura.

XenMobile admite la inscripción en bloque de dispositivos Windows 10. Con la inscripción en bloque, puede configurar múltiples dispositivos para que un servidor MDM los administre sin necesidad de restablecer la imagen inicial de los dispositivos. Puede usar el paquete de aprovisionamiento para la inscripción en bloque de dispositivos de escritorio Windows 10. Siga estos pasos para configurar y realizar la inscripción en bloque.

Antes de ejecutar la inscripción en bloque, compruebe que todos los dispositivos estén asignados al usuario final correcto. Si no es así, realice esta tarea registrando los dispositivos por usuario o realizando una importación en bloque de los dispositivos.

Para asignar dispositivos

  1. En la consola de XenMobile Server, vaya a Administrar > Lista blanca de dispositivos.

    Imagen de la pantalla de configuración de la lista blanca de dispositivos

  2. Para agregar cada dispositivo manualmente, haga clic en Agregar.

    Imagen de la pantalla de configuración de la lista blanca de dispositivos

  3. Escriba la siguiente información:

    • Plataforma del dispositivo: Seleccione Windows.
    • Tipo de ID de hardware: Seleccione un ID para identificar el dispositivo. XenMobile solo admite ID de hardware para dispositivos Windows.
    • ID de hardware: Escriba la identificación seleccionada previamente para el dispositivo.
    • Usuario asociado: Escriba al usuario que se asociará con el dispositivo.
  4. Haga clic en Guardar.

  5. Para agregar dispositivos en bloque, haga clic en Importar.

    Imagen de la pantalla para importar la lista blanca de dispositivos

  6. Haga clic en Descargar para descargar una plantilla para la lista blanca de los dispositivos. Complete esa plantilla con las descripciones anteriores y luego cargue el archivo con la opción Elegir archivo > Importar.

Para inscribir dispositivos en bloque

  1. En la consola del servidor XenMobile Server, vaya a Parámetros > Inscripción en bloque de Windows.

  2. En el cuadro UPN, escriba un nombre de usuario válido para implementar todos los dispositivos.

    Imagen de la pantalla de configuración de la inscripción en bloque de Windows

  3. Haga clic en Guardar.

  4. Para aprovisionar dispositivos en bloque, descargue el Diseñador de configuración de Windows desde la Tienda de Microsoft. El Diseñador de configuración de Windows crea paquetes de aprovisionamiento que se utilizan para crear imágenes de dispositivos. En estos paquetes, puede incluir la configuración de la inscripción en bloque de XenMobile para que los dispositivos se inscriban automáticamente en XenMobile.

    Para obtener información sobre cómo configurar la herramienta, crear un paquete de aprovisionamiento e instalar un paquete de aprovisionamiento, consulte https://docs.microsoft.com/en-us/windows/client-management/mdm/bulk-enrollment-using-windows-provisioning-tool. Para obtener información sobre cómo incluir la configuración de la inscripción en bloque de XenMobile, consulte la sección Create and apply a provisioning package for on-premises authentication en ese documento.

Optimización de entrega para actualizaciones Windows 10

La optimización de distribución (o de entrega) es un servicio de actualización de clientes punto a punto que ofrece Microsoft para las actualizaciones de Windows 10. El objetivo de la optimización de entrega es reducir los problemas de ancho de banda durante el proceso de actualización. La reducción del ancho de banda se logra al compartir la tarea de descarga entre múltiples dispositivos. Para obtener más información, consulte el artículo Configurar Optimización de distribución para actualizaciones de Windows 10 de Microsoft.

Ahora la directiva de control de actualizaciones del sistema operativo para escritorios y tabletas Windows 10 supervisados incluye configuraciones de la optimización de entrega. Puede administrar la configuración de la optimización de entrega para escritorios y tabletas con Windows 10 versión 1607.

Para configurar parámetros de la optimización de entrega, vaya a Configurar > Directivas de dispositivo y modifique la directiva de control de actualizaciones del SO.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros:

  • Configurar optimización de la entrega: Usar o no la optimización de entrega para las actualizaciones de Windows 10. El valor predeterminado es No (desactivado).
  • Tamaño de caché: El tamaño máximo de la memoria caché para la optimización de entrega. Un valor de 0 significa una memoria caché ilimitada. El valor predeterminado es 10 GB.
  • Permitir caché en nodo homólogo de VPN: Permitir o no que los dispositivos participen en el almacenamiento en caché entre homólogos cuando están conectados a la red del dominio a través de la red VPN. Cuando está activado, el dispositivo puede descargar o cargar a otros dispositivos de red del dominio, ya sea en la red VPN o en la red del dominio corporativo. El valor predeterminado es No (desactivado).
  • Método de descarga: El método de descarga que la optimización de entrega puede usar para descargar actualizaciones de Windows, aplicaciones y actualizaciones de aplicaciones. El valor predeterminado es HTTP combinado con nodos homólogos dentro de la misma NAT. Las opciones son:
    • Solo HTTP, sin usar nodos homólogos: Inhabilita el almacenamiento en memoria caché entre nodos homólogos, pero permite la optimización de entrega para descargar contenido de los servidores Windows Update o Windows Server Update Services (WSUS).
    • HTTP combinado con nodos homólogos dentro de la misma NAT: Permite el intercambio entre nodos homólogos en la misma red. El servicio en la nube de Optimización de entrega (o distribución) busca otros clientes que se conectan a Internet utilizando la misma IP pública que el cliente de destino. Luego, esos clientes intentan conectarse a otros nodos homólogos en la misma red utilizando su IP de subred privada.
    • HTTP combinado con nodos homólogos en un grupo privado: Selecciona automáticamente un grupo basándose en el sitio de Servicios de dominio de Active Directory (AD DS) del dispositivo o el dominio en que se autentica el dispositivo. La selección por AD DS es para Windows 10, versión 1607. La selección por dominio es para Windows 10, versión 1511. La comunicación con nodos homólogos se produce en subredes internas, entre dispositivos que pertenecen al mismo grupo, incluidos los dispositivos en oficinas remotas.
    • HTTP combinado con nodos homólogos en Internet: Habilita las fuentes de nodos homólogos en Internet para la optimización de entrega.
    • Modo de descarga simple, sin nodos homólogos: Inhabilita el uso de los servicios de optimización de entrega en la nube. La optimización de entrega cambia a este modo automáticamente cuando los servicios de la optimización de entrega en la nube no están disponibles, no se establecer contacto con ellos, o bien, cuando el tamaño del archivo de contenido es inferior a 10 MB. En este modo, la optimización de entrega proporciona una experiencia de descarga fiable, sin almacenamiento en caché de los nodos homólogos.
    • No usar optimización de entrega y usar BITS en su lugar: Permite a los clientes usar BranchCache. Para obtener más información, consulte el artículo BranchCache de Microsoft.
  • Ancho de banda máximo para descarga: El ancho de banda máximo para descargas, en KB/segundo. El valor predeterminado es 0, lo que significa un ajuste de ancho de banda dinámico.
  • Porcentaje de ancho de banda máximo para descargas: El ancho de banda máximo para descargas que la optimización de entrega puede usar en todas las actividades de descarga simultáneas. El valor es un porcentaje del ancho de banda disponible para las descargas. El valor predeterminado es 0, lo que significa un ajuste dinámico.
  • Ancho de banda máximo para carga: El ancho de banda máximo para cargas, en KB/segundo. El valor predeterminado es 0. Un valor de 0 significa un ancho de banda ilimitado.
  • Capacidad de carga de datos mensual: El tamaño máximo, en GB, que la optimización de entrega puede cargar en los nodos homólogos en Internet cada mes natural. El valor predeterminado es 20 GB. Un valor de 0 significa cargas mensuales ilimitadas.

Directiva de bloqueo de aplicaciones para equipos y tabletas Windows

Puede crear una directiva de bloqueo de aplicaciones que defina la lista negra y blanca de aplicaciones en escritorios y tabletas Windows administrados. Puede permitir o bloquear ejecutables, instaladores MSI, aplicaciones de tienda, DLL y scripts.

Requisitos previos para bloquear aplicaciones

  • En Windows, configure las reglas en el editor de la directiva de seguridad local en un escritorio Windows 10 que ejecute Windows 10 Enterprise o Education.
  • Exporte el archivo XML de la directiva. Citrix recomienda que cree reglas predeterminadas en Windows para evitar bloquear la configuración predeterminada o causar problemas en los dispositivos.
  • Luego, cargue el archivo XML en XenMobile. Para obtener más información sobre cómo crear reglas, consulte este artículo de Microsoft: https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview

Para configurar y exportar el archivo XML de la directiva desde Windows

Importante: Cuando configure el archivo XML de directiva desde el editor de directivas de Windows, use el modo solo auditoría.

  1. En el equipo Windows, inicie el editor de la Directiva de seguridad local. Haga clic en Inicio, escriba directiva de seguridad local y luego haga clic en Directiva de seguridad local.
  2. En el árbol de la consola, haga clic en Configuración del equipo > Configuración de Windows > Configuración de seguridad y, luego, expanda Directivas de control de aplicaciones.
  3. Haga clic en AppLocker y, en el panel central, haga clic en Configurar la aplicación de reglas.
  4. Seleccione Aplicar reglas. Cuando habilita una regla, Aplicar reglas es la opción predeterminada.
  5. Puede crear reglas ejecutables, reglas de Windows Installer, reglas de script y reglas de aplicaciones empaquetadas. Para hacerlo, haga clic con el botón secundario en la carpeta y haga clic en Crear nueva regla.
  6. Haga clic con el botón secundario en AppLocker, haga clic en Exportar directiva y guarde el archivo XML.

Para dejar de aplicar una directiva de bloqueo de aplicaciones

Después de implementar una directiva de bloqueo de aplicaciones en XenMobile: Para dejar de aplicar esa directiva, cree un archivo XML vacío. A continuación, cree otra directiva de bloqueo de aplicaciones, cargue el archivo e impleméntela. Los dispositivos que tienen un bloqueo de aplicaciones habilitado no se ven afectados. Los dispositivos que reciben la directiva por primera vez no tienen implementada la directiva de bloqueo de aplicaciones.

Información de Device Guard en el estado del dispositivo

Ahora XenMobile admite la información de Device Guard en el estado del dispositivo. Al modificar un dispositivo, ahora puede agregar las siguientes propiedades:

Imagen de la pantalla de configuración de dispositivos

Imagen de la pantalla de configuración de dispositivos

  • Indicadores de configuración de LSA: Muestra el estado de Credential Guard para Local System Authority (LSA). Los valores posibles son:
    • 0 - En ejecución
    • 1 - Reinicio requerido
    • 2 - Sin licencia para Credential Guard
    • 3 - No configurado
    • 4 - VBS sin funcionar
  • Estado de los requisitos de hardware de VBS: Muestra el estado de los requisitos de hardware para la seguridad basada en virtualización. Los valores posibles son:
    • 0x0 - El sistema cumple los requisitos de configuración de hardware
    • 0x1 - Se requiere SecureBoot
    • 0x2 - Requiere protección DMA
    • 0x4 - No se respalda HyperV con VM invitada
    • 0x8 - La función HyperV no está disponible
  • Estado de VBS: Muestra el estado de la seguridad basada en virtualización.
    • 0 - En ejecución
    • 1 - Reinicio requerido
    • 2 - Requiere arquitectura de 64 bits
    • 3 - Sin licencia
    • 4 - No configurado
    • 5 - El sistema no cumple los requisitos de hardware
    • 42 - Otro. Los registros de eventos en Microsoft-Windows-DeviceGuard contienen más detalles

Bloqueo de una conexión VPN utilizando un filtro de Control de acceso a la red

A través de las configuraciones de directivas en NetScaler, XenMobile admite el Control de acceso a la red (NAC) como una función de seguridad de punto final para dispositivos iOS. Puede habilitar un filtro NAC para bloquear una conexión VPN para dispositivos que tienen instaladas aplicaciones no conformes. Cuando la conexión VPN está bloqueada, el usuario no puede acceder a ninguna aplicación o sitio Web a través de la VPN.

Por ejemplo, en la directiva de acceso a las aplicaciones, usted clasifica una aplicación concreta como Prohibida o en la lista negra. Un usuario instala esa aplicación. Cuando ese usuario abre Citrix SSO e intenta conectarse a la VPN, la conexión se bloquea. Aparece el error: Error al procesar la solicitud. Póngase en contacto con el administrador.

Imagen de error de conexión

La configuración requiere que actualice las directivas de NetScaler para admitir NAC. En la consola de XenMobile, habilite los filtros NAC. También debe implementar la directiva de red VPN. Para que esta característica funcione en los dispositivos, los usuarios deben instalar el cliente VPN de Citrix SSO desde la tienda de Apple.

Los filtros NAC admitidos son:

  • Dispositivos de usuarios anónimos
  • Aplicaciones prohibidas
  • Dispositivos inactivos
  • Faltan aplicaciones necesarias
  • Aplicaciones no sugeridas
  • Contraseña no conforme
  • Dispositivos que no cumplen los requisitos
  • Estado revocado
  • Dispositivos Android o iOS liberados por jailbreak o root
  • Dispositivos no administrados

Requisitos previos para el filtrado NAC

  • NetScaler 12
    • Actualice las directivas de NetScaler para admitir NAC como se describe en esta sección.
  • XenMobile Server 10.18.2
    • Habilite los filtros NAC como se describe en esta sección.
    • Implemente la directiva de red VPN.
  • Cliente VPN de Citrix SSO 1.0.1 instalado en los dispositivos desde el Apple Store

Para actualizar las directivas de NetScaler para admitir NAC

Las directivas de autenticación y sesiones de VPN que configure deben ser avanzadas. En su servidor de VPN virtual desde una ventana de consola, haga lo siguiente. Las direcciones IP en los comandos y los ejemplos son ficticias.

  1. Elimine y desenlace todas las directivas clásicas si las utiliza en su servidor de VPN virtual. Para verificar, escriba:

    **show vpn vserver **

    Debe eliminar cualquier resultado que contenga la palabra Classic. Por ejemplo: Nombre de directiva de sesión de VPN: PL_OS_10.10.1.1 Tipo: Classic Prioridad: 0

    Para eliminar la directiva, escriba:

    **unbind vpn vserver -policy **

  2. Cree la directiva de sesión avanzada correspondiente.

    **add vpn sessionPolicy \ \**

    Por ejemplo, add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

  3. Enlace la directiva al servidor virtual VPN.

    bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

  4. Cree un servidor virtual de autenticación.

    add authentication vserver <authentication vserver name> <service type> <ip address>

    Por ejemplo:

    add authentication vserver authvs SSL 0.0.0.0

    En el ejemplo, 0.0.0.0 significa que el servidor virtual de autenticación no es público.

  5. Enlace un certificado SSL con el servidor virtual.

    bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>

    Por ejemplo:

    bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. Asocie un perfil de autenticación al servidor virtual de autenticación desde el servidor de VPN virtual. Primero, cree el perfil de autenticación.

    add authentication authnProfile <profile name> -authnVsName <authentication vserver name>

    Por ejemplo:

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. Asocie el perfil de autenticación al servidor de VPN virtual.

    set vpn vserver <vpn vserver name> -authnProfile <authn profile name>

    Por ejemplo:

    set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

  8. Compruebe la conexión desde NetScaler a un dispositivo. En este comando, “server” es la dirección del servidor XenMobile Server.

    **curl -v -k https://server:4443/Citrix/Device/v1/Check –header “X-Citrix-VPN-Device-ID: deviceid_"**

    Por ejemplo:

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check –header “X-Citrix-VPN-Device-ID: deviceid_7”

    Debería ver un comando similar al del siguiente ejemplo.

       HTTP/1.1 200 OK
       < Server: Apache-Coyote/1.1
       < X-Citrix-Device-State: Non Compliant
       < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. Si el paso anterior da el resultado correcto, cree la acción de autenticación Web en XenMobile. Primero, cree una expresión de directiva para extraer el ID del dispositivo desde el complemento VPN de iOS. Escriba lo siguiente.

    add policy expression xm_deviceid_expression “HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\’=\’,\’\&\’).VALUE(\“deviceidvalue\”)”

  10. Envíe la solicitud a XenMobile.

    add authentication webAuthAction xm_nac -serverIP 10.10.1.1 -serverPort 4443 -fullReqExpr q{“GET /Citrix/Device/v1/Check HTTP/1.1\r\n” + “Host: 10.200.60.80:4443\r\n” + “X-Citrix-VPN-Device-ID: “ + xm_deviceid_expression + “\r\n\r\n”} -scheme https -successRule “HTTP.RES.STATUS.EQ(\“200\”) \&\&HTTP.RES.HEADER(\“X-Citrix-Device-State\”).EQ(\“Compliant\”)”

    El resultado correcto para XenMobile NAC es “HTTP status 200 OK”. El encabezado ‘X-Citrix-Device-State’ debe tener el valor de conforme.

  11. Cree una directiva de autenticación con la que asociar la acción.

    add authentication Policy <policy name> -rule <rule> -action <web auth action>

    Por ejemplo:

    add authentication Policy xm_nac_webauth_pol -rule “HTTP.REQ.HEADER(\“User-Agent\”).CONTAINS(\“NAC\”)” -action xm_nac

  12. Convierta la directiva LDAP existente en una directiva avanzada.

    **add authentication Policy -rule \ -action \**

    Por ejemplo:

    add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. Agregue una etiqueta de directiva con la que asociar la directiva LDAP.

    **add authentication policylabel **

    Por ejemplo:

    add authentication policylabel ldap_pol_label

  14. Asocie la directiva LDAP a la etiqueta de directiva.

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. Conecte un dispositivo conforme para hacer una prueba de NAC y confirmar la autenticación LDAP correcta. Escriba lo siguiente.

    bind authentication vserver <authentication vserver> -policy <webauth policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END

  16. Agregue la interfaz de usuario a asociar con el servidor virtual de autenticación. Escriba el siguiente comando para recuperar la identificación del dispositivo.

    add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid

  17. Vincule el servidor virtual de autenticación.

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Cree una directiva LDAP avanzada de autenticación para permitir la conexión Secure Hub. Escriba lo siguiente.

    add authentication Policy ldap_xm_test_pol -rule “HTTP.REQ.HEADER(\“User-Agent\”).CONTAINS(\“NAC\”).NOT” -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

Para habilitar filtros NAC en la consola de XenMobile

  1. Vaya a Parámetros > Control de acceso de red.
  2. Junto a Establecer como no conforme, seleccione los filtros que quiere habilitar para la detección y luego haga clic en Guardar.

Para configurar la directiva de red VPN para respaldar NAC

En la configuración de la directiva de VPN para iOS:

  1. Se requiere el tipo de conexión de SSL personalizado para configurar el filtro NAC.
  2. Especifique VPN como nombre de conexión.
  3. En Identificador de SSL personalizado, escriba com.citrix.NetScalerGateway.ios.app
  4. En Identificador de paquete de proveedor, escriba com.citrix.NetScalerGateway.ios.app.vpnplugin

Los valores de los pasos 3 y 4 se toman de la instalación requerida de Citrix SSO 1.0.1 para el filtrado de NAC. Tenga en cuenta que no configura una contraseña de autenticación.

En esta imagen se muestran los parámetros requeridos para VPN.

Imagen de la pantalla de configuración de Directivas de dispositivo

Problemas resueltos en XenMobile Service 10.18.2

Los usuarios que tienen una cuenta de administrador en XenMobile y se les aprovisiona para el servicio XenMobile Service (en la nube), no pueden inscribir un dispositivo. [CXM-26447]

En la página Administrar > Dispositivos, ordenar por Versión del sistema operativo no da como resultado una lista ordenada correctamente. [CXM-45540]

Problemas conocidos en XenMobile Service 10.18.2

Después de eliminar un dispositivo Chromebook o Workspace Hub con la acción de XenMobile, el dispositivo sigue apareciendo en la consola de XenMobile hasta que la actualice. [CXM-46418]

XenMobile Service 10.18.1

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Respaldo para dispositivos Chromebook

Importante: Por el momento, el respaldo para dispositivos Chromebook solo está disponible para los clientes de EE. UU. Todos los demás clientes tendrán respaldo completo en una versión futura.

A partir de XenMobile Service 10.18.1, XenMobile respalda dispositivos Chromebook. Los dispositivos Chromebook solo se inscriben en modo MDM.

Requisitos del sistema:

  • Chrome OS 46 y versiones posteriores

Configurar G Suite para la inscripción de Chromebook

Antes de registrar dispositivos Chromebook, configure G Suite para la inscripción de Chromebook. La configuración fuerza la instalación de la extensión Secure Hub en el dispositivo Chromebook e impide que la extensión se inhabilite o se elimine.

  1. Vaya a https://admin.google.com e inicie sesión en su cuenta de G Suite.

  2. En la consola de administrador de Google, haga clic en Administración de dispositivos.

    Imagen de la consola de administrador de Google

  3. Haga clic en Administración de Chrome.

    Imagen de la consola de administrador de Google

  4. En la página de administración de dispositivos Chrome, haz clic en Configuración de usuario.

    Imagen de la consola de administrador de Google

  5. En la página Configuración de usuario, busque Certificados de cliente. Agregue este patrón:

    {"pattern": "https://[*.]xm.cloud.com", "filter": {}}

    Si agrega este patrón a los certificados de cliente, se asegura de que los certificados de dispositivo enviados desde XenMobile se seleccionen automáticamente, no hay que pedir al usuario que lo haga.

    Imagen de la consola de administrador de Google

  6. Haga clic en Guardar.

  7. Busque Aplicaciones y extensiones con instalación forzada y haga clic en Administrar aplicaciones con instalación forzada.

    Imagen de la consola de administrador de Google

  8. Haga clic en Especificar una aplicación personalizada.

    Imagen de la consola de administrador de Google

  9. Haga clic en el campo ID, escriba.cnkimbgkdakemjcipljhmoplehfcjban

  10. Haga clic en el campo de URL y escriba https://chrome.google.com/webstore/detail/cnkimbgkdakemjcipljhmoplehfcjban.

  11. Haga clic en Agregar.

  12. Haga clic en Guardar en la ventana de diálogo de Aplicaciones y extensiones con instalación forzada.

  13. Haga clic en Guardar en la página Configuración de usuario.

Inscribir dispositivos Chromebook

Los usuarios inscriben dispositivos Chromebook utilizando una extensión de Secure Hub en Chrome. XenMobile respalda la detección automática de dispositivos Chromebook.

XenMobile no admite agregar dispositivos Chromebook manualmente o mediante la inscripción en bloque. XenMobile no admite el envío de invitaciones de inscripción para dispositivos Chromebook.

Antes de que un usuario inscriba un dispositivo Chromebook en XenMobile, usted o el usuario deben inscribir el dispositivo en el dominio de G Suite de su empresa. Para obtener información sobre cómo inscribir dispositivos Chrome, consulte el artículo de Google Registrar dispositivos Chrome.

Se debe crear un PIN de Citrix cuando se inscribe un dispositivo Chromebook en XenMobile. Este PIN no se puede restablecer. Si un usuario olvida este PIN, el dispositivo Chromebook se debe desinscribir y volver a inscribir.

  1. Inicie sesión en su dispositivo Chromebook con sus credenciales de G Suite.

  2. Haga clic en la extensión Secure Hub en Chrome. La extensión Secure Hub que aparece junto a la barra de direcciones de su explorador Web está en gris:

    Imagen del icono en gris

  3. Aparece de nuevo la pantalla de inscripción de Secure Hub. Haga clic en Inscribir.

    Imagen de la inscripción en el dispositivo

  4. Introduzca las credenciales de empresa, como el nombre del servidor de XenMobile Server de su empresa, el nombre principal de usuario (UPN) o su dirección de correo electrónico. A continuación, haga clic en Siguiente.

    Imagen de la inscripción en el dispositivo

  5. Si se le solicita, escriba su nombre de usuario de la empresa. Escriba su contraseña de empresa. Haga clic en Iniciar sesión.

    Imagen de la inscripción en el dispositivo

  6. Cree un PIN de Citrix. Este PIN debe tener seis caracteres. Solo puede contener letras y números. Introduzca el PIN de Citrix dos veces. Haga clic en Finalizar.

    Imagen de la inscripción en el dispositivo

  7. Cuando se completa la inscripción, el icono de la extensión Secure Hub ya no aparece atenuado.

Iniciar sesión en un dispositivo Chromebook inscrito

Para iniciar sesión en un dispositivo Chromebook inscrito en XenMobile

  1. Inicie sesión con sus credenciales de G Suite.

  2. Cuando se le solicite, introduzca su PIN de Citrix. Este PIN se creó cuando el dispositivo se inscribió en XenMobile.

Si no escribe su PIN de Citrix ahora, se le pedirá que lo escriba cada minuto hasta que lo haga. Después de cinco minutos, se bloquea el acceso a todos los sitios Web, excepto google.com, citrix.com, gotomeeting.com y cloud.com. Si intenta acceder a otro sitio Web, aparece un mensaje de error y se le solicita que inicie sesión con su PIN de Citrix.

Desinscribir y reinscribir un dispositivo Chromebook

Para desinscribir un dispositivo Chromebook de XenMobile, los usuarios eliminan su cuenta.

  1. En el explorador Web Chrome, haga clic en el icono de la extensión Secure Hub.
  2. En la ventana de inscripción de Secure Hub, haga clic en Eliminar.
  3. Haga clic en Sí, eliminar para confirmar la eliminación.
  4. La ventana de inscripción de Secure Hub se cierra y la extensión Secure Hub se atenúa.

Para reinscribir:

  1. Cierre la sesión de su dispositivo Chromebook y vuelva a iniciarla usando sus credenciales de G Suite.
  2. Haga clic en Inscribir y siga las instrucciones para la reinscripción.

Directivas de dispositivo para dispositivos Chromebook

Estas directivas de restricción de dispositivos están disponibles para dispositivos Chromebook.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Inhabilitar autorelleno: Seleccione si quiere permitir la función de rellenado automático del explorador Web Chrome. Si esta directiva está activada, la función de rellenado automático no está permitida. Está activada de manera predeterminada.
  • Inhabilitar guardado de contraseña: Seleccione si quiere permitir el guardado de contraseñas del explorador Web Chrome. Si esta directiva está activada, la función de guardado de contraseñas no está permitida. Está activada de manera predeterminada.
  • Inhabilitar la traducción de páginas: Seleccione si se permite la traducción de páginas Web que estén en otros idiomas en el explorador Web Chrome. Si esta directiva está activada, la función de traducción de páginas Web no está permitida. Está activada de manera predeterminada.
  • Bloquear imágenes: Seleccione si desea mostrar imágenes en páginas Web en el explorador Web Chrome. Si esta directiva está activada, las imágenes en páginas Web en el explorador Web Chrome no se muestran. El valor predeterminado es No (desactivado).
  • Sitios web: Seleccione si quiere controlar el acceso a sitios Web en el explorador Web Chrome usando una lista blanca o lista negra. El valor predeterminado es Lista negra.

Directiva Windows Hello para empresas

Windows Hello para empresas permite a los usuarios iniciar sesión en dispositivos Windows mediante su cuenta de Active Directory o Azure Active Directory. La directiva de dispositivo de Windows Hello para empresas se utiliza para habilitar la función de modo que los usuarios puedan aprovisionar Windows Hello para empresas en sus dispositivos. La directiva también le permite configurar limitaciones de códigos de acceso y otras características de seguridad.

Vaya a Configurar > Directivas de dispositivo para agregar la directiva Windows Hello para empresas. Configure estos parámetros:

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Usar Windows Hello para empresas: Habilite esta función para permitir que los usuarios aprovisionen Windows Hello para empresas en su dispositivo.
  • Requerir dispositivo de seguridad: Para exigir que los usuarios tengan un módulo TPM (Trusted Platform Module) para iniciar sesión.
  • Longitud mínima/máxima del PIN: La longitud mínima y la longitud máxima para los PIN de los usuarios. La longitud mínima del PIN toma el valor 4 de manera predeterminada. La longitud máxima del PIN toma el valor 127 de manera predeterminada.
  • Letras mayúsculas, Letras minúsculas, Caracteres especiales: Seleccione si quiere Permitir, Requerir o No permitir cada uno de estos tipos de caracteres. El valor predeterminado es No permitir.
  • Dígitos: Seleccione si quiere Permitir, Requerir o No permitir dígitos. El valor predeterminado es Requerir.
  • Historial: La cantidad de PIN anteriores que los usuarios no pueden volver a utilizar. El valor predeterminado es 0, lo que significa que los usuarios pueden reutilizar todos los PIN.
  • Caducidad: La cantidad de días antes de que un usuario deba cambiar su PIN. El valor predeterminado es 0, lo que significa que los PIN no caducan.
  • Usar biometría: Permitir el uso de biometría en lugar de PIN para los inicios de sesión de los usuarios.

Implementar aplicaciones Office 365 en dispositivos Windows 10

XenMobile ahora permite la implementación de productos de Microsoft Office 365 utilizando el proveedor de servicios de configuración de Office (CSP). Mediante la configuración de la nueva directiva de Office, puede implementar aplicaciones de Microsoft Office en cualquier escritorio o tableta con Windows 10 que ejecute la actualización 1709 o una versión posterior.

Para agregar la directiva de Office, vaya a Configurar > Directivas de dispositivo. Configure estos parámetros:

Imagen de la pantalla de configuración de Directivas de dispositivo

  • ID de producto: Seleccione un ID de producto basado en su plan de Office 365. Las opciones son O365ProPlusRetail, O365BusinessRetail o O365SmallBusPremRetail.
  • Aplicaciones de Office 365: Seleccione las aplicaciones de Office 365 que quiere implementar. De manera predeterminada, se seleccionan todas las aplicaciones.
  • Aplicaciones de Office adicionales: Si posee licencias para Project Online Desktop Client o Visio Pro para Office 365, puede seleccionar estas aplicaciones para que se instalen.
  • Versión de Office: Seleccione si instalar la versión de Office de 32 bits o de 64 bits.
  • Canal de actualización: Elija con qué frecuencia quiere instalar actualizaciones. Las opciones son Mensual, Mensual (dirigido), Semestral o Semestral (dirigido).
  • Propiedades:
    • Aceptar automáticamente el contrato de licencia del usuario final de la aplicación: Seleccione o No. El valor predeterminado es .
    • Activación de equipo de usuario compartido: Seleccione si el equipo es compartido o no. Las opciones son o No. El valor predeterminado es No.
  • Idioma de Office: Office se instala automáticamente en cualquier idioma que ya tenga instalado Windows. Puede seleccionar idiomas adicionales para instalar.

Restringir dispositivos de Windows 10 al modo quiosco

Ahora puede usar la directiva de quiosco para restringir los dispositivos Windows 10 al modo quiosco, permitiendo que se ejecute solo una aplicación.

Para agregar la directiva de quiosco, vaya a Configurar > Directivas de dispositivo. Configure estos parámetros:

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Modo quiosco: Habilite o inhabilite la función.
  • ID de modelo de usuario de la aplicación (AUMID): El ID de la aplicación que quiere permitir en modo quiosco. Para obtener una lista de los AUMID de todas las aplicaciones de Microsoft Store instaladas para el usuario actual del dispositivo, ejecute el siguiente comando de PowerShell.

$installedapps = get-AppxPackage

$aumidList = @()
foreach ($app in $installedapps)
{
    foreach ($id in (Get-AppxPackageManifest $app).package.applications.application.id)
    {
        $aumidList += $app.packagefamilyname + "!"+ $id
    }
}

$aumidList

Si el dispositivo no está unido a un dominio a través de Azure Active Directory o un dominio de la empresa, configure previamente al usuario de la inscripción como usuario local del sistema. Con esa configuración, solo se instala en el dispositivo la directiva de quiosco.

XenMobile solo implementa esta directiva cuando se dan estas condiciones:

  • Para un dispositivo con un usuario local: El usuario debe tener una cuenta local de dispositivo.
  • Para un usuario de dominio (es decir, un usuario de Active Directory o un usuario de Azure Active Directory): El dispositivo debe estar unido al dominio. La creación manual de una cuenta local en el dispositivo no funciona.
  • Para un dispositivo con el “quiosco” de usuario local: Debe haber un usuario del sistema llamado “quiosco”.

Usar iPad Compartidos con las funciones de Apple Educación

En la integración de XenMobile con Apple Educación, se admite la función llamada “iPad Compartidos”. Varios alumnos de un aula pueden compartir un iPad para las diferentes materias o asignaturas impartidas por uno o varios profesores o instructores.

O usted o los instructores inscriben los iPads compartidos y luego implementan directivas de dispositivo, aplicaciones y archivos multimedia en ellos. A continuación, los estudiantes proporcionan sus credenciales administradas de ID de Apple para iniciar sesión en un iPad compartido. Si implementó anteriormente una directiva “Configuración de la educación” en los dispositivos de los alumnos, no es necesario que inicien sesión como “Otro usuario” para compartir esos dispositivos.

XenMobile utiliza dos canales de comunicación para iPad Compartidos: el canal del sistema para el propietario del dispositivo (instructor) y el canal del usuario para el usuario residente actual (estudiante). XenMobile utiliza esos canales para enviar los comandos MDM apropiados para los recursos que admite Apple.

A continuación, dispone de los recursos que se implementan a través del canal del sistema:

  • Directivas de dispositivo: Configuración de la educación, Mensaje de la pantalla bloqueada, Máximo de usuarios residentes y Período de gracia de bloqueo de código de acceso
  • Aplicaciones VPP basadas en el dispositivo

    Apple no admite aplicaciones de empresa ni aplicaciones VPP basadas en el usuario en la función iPad Compartidos. Las aplicaciones instaladas en un iPad compartido son para todo el dispositivo; no se pueden utilizar por usuario.

  • iBooks VPP basados en el usuario

    Apple admite la asignación de iBooks VPP basados en el usuario en iPad Compartidos.

A continuación, dispone de los recursos que se implementan a través del canal del usuario:

  • Directivas de dispositivo: Notificaciones de aplicaciones, Diseño de pantalla inicial y Restricciones

    Actualmente, XenMobile solo admite estas directivas por el canal del usuario.

Requisitos para iPad Compartidos

Requisitos de dispositivo:

  • Cualquier iPad Pro, iPad de 5ª generación, iPad Air 2 o posterior y iPad mini 4 o posterior
  • Al menos 32 GB de almacenamiento
  • Supervisado

Otros requisitos:

  • Para la primera integración de Apple School Manager con XenMobile, consulte Integrar con funciones de Apple Educación. Siga esas instrucciones para configurar la integración de los iPads que utilice siguiendo un modelo de uno a uno (un iPad por alumno) o iPads de instructor (no compartidos). Luego, vuelva a esta sección para configurar la función iPad Compartidos.

Secuencia general de tareas

Por lo general, usted distribuye iPads compartidos, preconfigurados y supervisados a los profesores o instructores. Los instructores distribuyen a su vez los dispositivos a los estudiantes. Si no distribuye iPads compartidos preinscritos a los instructores, deberá suministrarles contraseñas de XenMobile Server para que puedan inscribir sus dispositivos.

A continuación, dispone de la secuencia general de las tareas necesarias para configurar e inscribir los iPads compartidos.

  1. Utilice la consola de XenMobile Server para agregar cuentas ASM DEP (Parámetros > Apple Device Enrollment Program (DEP)) con el Modo compartido habilitado. Para obtener más información, consulte “Administrar cuentas ASM DEP para iPad Compartidos” más adelante.
  2. Tal y como se describe en esa sección, debe agregar las directivas, las aplicaciones y los archivos multimedia necesarios a XenMobile. Asigne esos recursos a los grupos de entrega. Para obtener más información, consulte Integrar con funciones de Apple Educación.
  3. Haga que los instructores realicen un restablecimiento completo de los iPads compartidos. Aparece la pantalla de administración remota para la inscripción DEP.
  4. Los instructores inscriben los iPads compartidos. XenMobile implementa los recursos configurados en cada iPad compartido que se haya inscrito. Después de un reinicio automático, los instructores pueden compartir los dispositivos con los estudiantes. Aparece una página de inicio de sesión en el iPad.
  5. Un alumno elige la clase y luego escribe su ID de Apple administrado, así como la contraseña temporal de Apple School Manager (ASM). El iPad compartido se autentica en ASM y solicita al alumno que cree una contraseña de ASM. La próxima vez que el estudiante inicie sesión en el iPad compartido, suministrará la nueva contraseña de ASM.
  6. Otro alumno que comparta el iPad puede iniciar sesión en él, solo será necesario que repita el paso anterior.

Administrar cuentas ASM DEP para iPad Compartidos

Si ya usa XenMobile con Apple Educación, tiene una cuenta ASM DEP configurada en XenMobile para dispositivos que no se comparten, como los dispositivos que utilizan los profesores. Puede usar el mismo ASM y el mismo XenMobile Server para dispositivos compartidos y no compartidos.

XenMobile admite estos casos de implementación:

  • Un grupo de iPads compartidos por clase

    En este caso, usted asigna los iPads compartidos a una clase de estudiantes. Los iPads se quedan en el aula. Los profesores que enseñan otras asignaturas en esa clase usan el mismo grupo de iPads.

  • Un grupo de iPads compartidos por instructor

    En este caso, usted asigna los iPads compartidos a un instructor, y este los usa para las distintas clases que enseñe.

Organizar iPads compartidos en grupos de dispositivos

ASM permite agrupar dispositivos. Para ello, debe crear varios servidores MDM. Cuando asigna iPads compartidos a un servidor MDM, crea un grupo de dispositivos para cada grupo de iPads compartidos, por clase o por instructor:

  • Grupo de iPads compartidos 1 > Grupo de dispositivos 1 del servidor MDM
  • Grupo de iPads compartidos 2 > Grupo de dispositivos 2 del servidor MDM
  • Grupo de iPads compartidos N > Grupo de dispositivos N del servidor MDM

Agregar cuentas ASM DEP a cada grupo de dispositivos

Cuando crea varias cuentas ASM DEP desde la consola de XenMobile Server, importa automáticamente los grupos de iPads compartidos (uno por clase o instructor):

  • Grupo de dispositivos 1 del servidor MDM > Grupo de dispositivos 1 de la cuenta DEP
  • Grupo de dispositivos 2 del servidor MDM > Grupo de dispositivos 2 de la cuenta DEP
  • Grupo de dispositivos N del servidor MDM > Grupo de dispositivos N de la cuenta DEP

A continuación, dispone de los requisitos específicos para iPad Compartidos:

  • Una cuenta ASM DEP para cada grupo de dispositivos con estas configuraciones habilitadas:
    • Requerir inscripción del dispositivo
    • Modo supervisado
    • Modo compartido
  • Para una organización educativa determinada, debe usar el mismo Sufijo de educación para todas las cuentas ASM DEP.

Para agregar una cuenta DEP, vaya a Parámetros > Apple Device Enrollment Program (DEP).

Imagen de la pantalla de configuración de ajustes de Apple DEP

Para obtener información general sobre cómo agregar una cuenta DEP de Apple School Manager a XenMobile, consulte Integrar con funciones de Apple Educación.

Directivas de dispositivo para iPad Compartidos

Estas directivas de dispositivo son específicas para iPad Compartidos:

  • Máximo de usuarios residentes: La cantidad máxima de usuarios que puede tener un iPad compartido. Si la cantidad de usuarios especificada en esta directiva supera la cantidad máxima de usuarios que admite el dispositivo, XenMobile usa la cantidad máxima del dispositivo. El valor predeterminado es de 5 usuarios. Disponible en iOS 9.3 y versiones posteriores.

    Esta directiva debe implementarse cuando el iPad se encuentre en la fase “en espera de configuración” del asistente de configuración. Apple no permite que esta directiva se implemente una vez que los iPads compartidos se hayan inscrito.

    Imagen de la pantalla de configuración de Directivas de dispositivo

    Apple recomienda que mantenga el valor de “Máximo de usuarios residentes” lo más bajo posible. Un valor bajo maximiza la cantidad de almacenamiento que podrá ofrecer el iPad a cada usuario. Además, un valor bajo minimiza la comunicación con iCloud y ofrece una experiencia de inicio de sesión más rápida. Para obtener información sobre cómo gestiona Apple el almacenamiento compartido en un iPad, consulte https://help.apple.com/deployment/ios/#/cad7e2e0cf56.

  • Período de gracia de bloqueo de código de acceso. La cantidad de minutos que una pantalla de iPad compartido permanece bloqueada antes de que el usuario deba escribir un código de acceso para desbloquearla. Cambiar esta configuración a un valor menos restrictivo no tendrá efecto hasta que el usuario cierre la sesión. El valor predeterminado es Inmediatamente. Disponible en iOS 9.3.2 y versiones posteriores.

    De forma predeterminada, el iPad compartido se bloquea automáticamente después de dos minutos de inactividad.

    Imagen de la pantalla de configuración de Directivas de dispositivo

Por ahora, XenMobile respalda estas directivas de dispositivo por el canal del usuario:

  • Diseño de pantalla inicial. Para definir la distribución de las aplicaciones, las carpetas y los clips Web en la pantalla de inicio.
  • Notificaciones de aplicaciones. Para configurar las notificaciones de restricción de aplicaciones.
  • Restricciones. Para permitir o prohibir restricciones de educación o restringir el uso de la aplicación. Por ejemplo: aplicaciones permitidas o prohibidas.
  • Eliminación de perfiles

El canal de implementación se especifica cuando se configuran esas directivas.

Imagen de la pantalla de configuración de Directivas de dispositivo

Para eliminar las directivas de dispositivo que implementó por el canal del usuario, debe elegir el Ámbito de implementación llamado Usuario para la directiva de eliminación de perfiles.

Para obtener información sobre otras directivas de dispositivo, consulte “Paso 7: Planifique y agregue recursos y grupos de entrega a XenMobile Server” en Integrar con funciones de Apple Educación.

Aplicaciones para iPad Compartidos

iPad Compartidos admite la asignación de aplicaciones VPP basadas en el dispositivo. Antes de implementar una aplicación en un iPad compartido, XenMobile Server envía una solicitud al servidor VPP de Apple para asignar licencias VPP a los dispositivos. Para consultar las asignaciones de VPP, vaya a Configurar > Aplicaciones > iPad y expanda Programa de compras por volumen.

Para obtener recomendaciones sobre cómo elegir, implementar y actualizar aplicaciones en la función iPad Compartidos, consulte Usar iPad Compartidos en la documentación de Apple.

Multimedia para iPad Compartidos

iPad Compartidos admite la asignación de iBooks basada en el usuario. Antes de implementar un iBook en el iPad compartido, XenMobile Server envía una solicitud al servidor VPP de Apple para asignar licencias VPP a los estudiantes. Para consultar las asignaciones de VPP, vaya a Configurar > Multimedia > iPad y expanda Programa de compras por volumen.

Imagen de la pantalla de configuración para contenido multimedia

Reglas de implementación para iPad Compartidos

Para la implementación de iPad Compartidos, las reglas a nivel de grupo de entrega no se aplican porque están relacionadas con propiedades de usuario. Para filtrar las directivas, las aplicaciones y los archivos multimedia por grupo de dispositivos, agregue una regla de implementación para los recursos según el nombre de la cuenta DEP. Por ejemplo:

  • Para la cuenta DEP del grupo de dispositivos 1, configure esta regla de implementación:

  DEP account name
  Only
  Device Group 1 DEP account

  • Para la cuenta DEP del grupo de dispositivos 2, configure esta regla de implementación:

  DEP account name
  Only
  Device Group 2 DEP account

  • Para la cuenta DEP del grupo de dispositivos N, configure esta regla de implementación:

  DEP account name
  Only
  Device Group N DEP account

Imagen de la pantalla de configuración de Directivas de dispositivo

Para implementar la aplicación Aula de Apple solo a los instructores (que utilizan iPads no compartidos), filtre los recursos por estado compartido de ASM DEP con estas reglas de implementación:


Deploy this resource regarding ASM DEP shared mode
only
unshared

O bien:


Deploy this resource regarding ASM DEP shared mode
except
shareable

Imagen de la pantalla de configuración de aplicaciones

Grupos de entrega para iPad Compartidos

Para el grupo de dispositivos de cada instructor:

  • Configure un grupo de entrega. Para el instructor, asigne todas las clases definidas en la directiva Configuración de la educación.

Imagen de la pantalla de configuración de grupos de entrega

  • Ese grupo de entrega debe incluir estos recursos de MDM:
    • Directivas de dispositivo:
      • Configuración de la educación
      • Mensaje de la pantalla bloqueada
      • Notificaciones de aplicaciones
      • Diseño de pantalla inicial
      • Restricciones
      • Máximo de usuarios residentes
      • Período de gracia de bloqueo de código de acceso
    • Aplicaciones obligatorias del programa VPP
    • iBooks obligatorios del programa VPP

Imagen de la pantalla de configuración de grupos de entrega

Acciones de seguridad para iPad Compartidos

Además de las acciones de seguridad existentes, puede usar estas nuevas acciones de seguridad para iPad Compartidos (disponible en iOS 9.3 y versiones posteriores):

  • Obtener usuarios residentes: Ofrece una lista de los usuarios que tienen cuentas activas en el dispositivo actual. Esta acción fuerza una sincronización entre el dispositivo y la consola de XenMobile.
  • Cerrar sesión de usuario residente: Obliga al cierre de sesión del usuario actual.
  • Eliminar usuario residente: Elimina la sesión actual de un usuario específico. El usuario puede volver a iniciar sesión.

Imagen de la pantalla de acciones de seguridad

Después de hacer clic en Eliminar usuario residente, puede especificar el nombre del usuario.

Imagen de la pantalla de acciones de seguridad

Los resultados de las acciones de seguridad aparecen en las páginas Administrar > Dispositivos > General y Administrar > Dispositivos > Grupos de entrega.

Obtener información sobre iPad Compartidos

Dispone de información específica de iPad Compartidos en la página Administrar > Dispositivos:

  • Puede ver:
    • Si un dispositivo se comparte (ASM DEP compartido)
    • Quién está conectado al dispositivo compartido (Usuario ASM conectado)
    • Todos los usuarios asignados al dispositivo compartido (Usuarios residentes de ASM)

Imagen de la pantalla de configuración de dispositivos

  • Puede filtrar la lista de dispositivos por el Estado del dispositivo ASM DEP:

Imagen de la pantalla de configuración de dispositivos

  • Puede consultar datos sobre el usuario que inició sesión en un iPad compartido desde la página Administrar > Dispositivos > Propiedades del usuario conectado.

Imagen de la pantalla de configuración de dispositivos

Imagen de la pantalla de configuración de dispositivos

  • Puede ver el canal utilizado para implementar recursos a los instructores y los usuarios en un grupo de entrega desde la página Administrar > Dispositivos > Grupos de entrega. La columna Canal/usuario muestra el tipo (Sistema o Usuario) y el destinatario (instructor o alumno).

Imagen de la pantalla de configuración de dispositivos

  • Puede obtener información sobre los usuarios residentes:
    • Tiene datos para sincronizar: Si el usuario tiene datos para sincronizar con la nube.
    • Cuota de datos: La cuota de datos establecida para el usuario en bytes. Puede que esta cuota no aparezca si las cuotas de los usuarios están temporalmente desactivadas o no se aplican al usuario.
    • Datos utilizados: La cantidad de datos utilizados por el usuario en bytes. Puede que no aparezca ningún valor si se produce un error mientras el sistema recopila la información.
    • Está conectado. Si el usuario inició sesión en el dispositivo.

Imagen de la pantalla de configuración de dispositivos

  • Puede ver el estado de envío por ambos canales.

Imagen de la pantalla de configuración de dispositivos

Establecer cómo aparecen las notificaciones de las aplicaciones en los dispositivos iOS

La directiva de notificaciones de aplicaciones permite controlar cómo reciben los usuarios de iOS las notificaciones provenientes de las aplicaciones especificadas. Esta directiva se admite en dispositivos que ejecutan iOS 9.3 o versiones posteriores. Para agregar la directiva, vaya a Configurar > Directivas de dispositivo.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure los parámetros de notificación:

  • Identificador de paquete de aplicación. Especifique las aplicaciones a las que aplicar esta directiva.
  • Permitir notificaciones: Active esta opción para permitir las notificaciones.
  • Mostrar en el Centro de notificaciones: Active esta opción para mostrar notificaciones en el Centro de notificaciones de los dispositivos de usuario.
  • Insignia en icono de aplicación: Active esta opción para que aparezca una insignia en el icono de la aplicación con las notificaciones.
  • Sonidos: Active esta opción para incluir sonidos en las notificaciones.
  • Mostrar en pantalla de bloqueo: Active esta opción para mostrar notificaciones en la pantalla de bloqueo de los dispositivos de usuario.
  • Estilo de alerta en desbloqueo: En la lista, seleccione Ninguno, Pancarta o Alertas para configurar la apariencia de las alertas mientras el dispositivo está desbloqueado.

Desinscribir una empresa de Android for Work

XenMobile ahora le permite desinscribir una empresa de Android for Work utilizando la consola de XenMobile Server y las herramientas de XenMobile Tools.

Cuando realiza esta tarea, XenMobile Server abre una ventana emergente para XenMobile Tools. Antes de comenzar, asegúrese de que XenMobile Server tenga permiso para abrir ventanas emergentes en el explorador Web que esté utilizando. Algunos exploradores Web, como Google Chrome, requieren que se inhabilite el bloqueo de ventanas emergentes y se agregue la dirección del sitio de XenMobile a la lista blanca de bloqueo de ventanas emergentes.

Advertencia: Una vez que se ha desinscrito una empresa, las aplicaciones Android for Work en dispositivos ya inscritos a través de ella se restablecen a sus estados predeterminados. Google ya no administra los dispositivos. Volver a inscribirlos en una empresa de Android for Work podría requerir una configuración adicional para restaurar la funcionalidad anterior.

Después de que la empresa Android for Work se ha desinscrito:

  • En los dispositivos y los usuarios inscritos a través de la empresa, las aplicaciones de Android for Work se restablecen a sus estados predeterminados. Las directivas de Permisos y Restricciones de aplicación de Android for Work aplicadas ya no tienen efecto en las operaciones.
  • XenMobile administra los dispositivos inscritos a través de la empresa. Google no administra esos dispositivos. No se pueden agregar aplicaciones de Android for Work. No se pueden aplicar las directivas de Permisos de la aplicación Android Work y Restricción de la aplicación Android for Work. Aún se pueden aplicar otras directivas, tales como Programación, Contraseña y Restricciones, a estos dispositivos.
  • Si intenta inscribir dispositivos en Android for Work, se inscriben como dispositivos Android, no como dispositivos Android for Work.

Para desinscribir una empresa de Android for Work:

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android for Work.

  3. Haga clic en Quitar empresa.

    Imagen de la pantalla de configuración de Android for Work

  4. Especifique una contraseña. Necesitará la contraseña en el próximo paso para completar la desinscripción. Haga clic en Desinscribir.

    Imagen de la pantalla de configuración de Android for Work

  5. Cuando se abra la página de XenMobile Tools, introduzca la contraseña que creó en el paso anterior.

    Imagen de la pantalla de las herramientas de administración

  6. Haga clic en Desinscribir.

    Imagen de la pantalla de las herramientas de administración

Búsqueda de propiedades de dispositivo optimizada

Anteriormente, una búsqueda de dispositivo desde la página Administrar > Dispositivos incluía todas las propiedades del dispositivo de forma predeterminada, lo que podía ralentizar la búsqueda. Ahora el ámbito predeterminado de las búsquedas incluye solo las siguientes propiedades del dispositivo:

  • Número de serie
  • IMEI
  • Dirección MAC de Wi-Fi
  • Dirección MAC de Bluetooth
  • ID de Active Sync
  • Nombre de usuario

Puede configurar el ámbito de la búsqueda a través de una nueva propiedad del servidor, include.device.properties.during.search, cuyo valor predeterminado es falso. Para incluir todas las propiedades del dispositivo en una búsqueda de dispositivos, vaya a Parámetros > Propiedades del servidor y cambie la configuración a verdadero.

Problemas resueltos en XenMobile Service 10.18.1

En Configurar > Directivas de dispositivo > Directiva de bloqueo de aplicaciones: Después de escribir el nombre de la directiva e ir a la página de iOS, los ID de paquete no aparecen en el menú ID de paquete de la aplicación. Después de alternar entre Android e iOS, aparecen los ID de paquete de aplicación. [CXM-39302]

Cuando carga una aplicación empresarial .ipa a XenMobile Server, ocasionalmente la carga falla. Aparece el siguiente mensaje de error: La aplicación móvil cargada no es válida. No se encontró el icono de la aplicación. [De xms][#662026]_[10.4.0.10018.bin][#662026][CXM-43032]

En un entorno configurado para Android for Work, después de inscribir un dispositivo y luego agregar una aplicación, la aplicación no aparece en Google Play en el dispositivo. Si desinscribe y luego vuelve a inscribir la empresa, y después agrega aplicaciones, es posible que Google Play no muestre ninguna aplicación. [CXM-43424]

La inscripción falla con este mensaje de registro: com.zenprise.zdm.enroll.EnrollmentException: com.hazelcast.core.OperationTimeoutException: QueryPartitionOperation invocation failed to complete due to operation-heartbeat-timeout. [CXM-43779]

Las cargas de paquetes de aplicaciones (APK, IPA, MDX) desde Internet Explorer fallan y el icono giratorio continúa mostrándose hasta que se interrumpe la carga. [CXM-43797]

En dispositivos Android con directivas de túnel y clip Web, Secure Hub se cuelga después de abrir un clip Web y volver atrás varias veces. [CXM-43812]

Después de que la directiva de control de actualizaciones del sistema operativo se implemente en dispositivos iOS, los ID de ActiveSync en XenMobile no coinciden con los ID de ActiveSync en el dispositivo. Como resultado, los usuarios no pueden acceder al correo electrónico. [CXM-43958]

Cuando se usa la consola de XenMobile para buscar un usuario o dispositivo, la búsqueda es lenta. [CXM-44120]

Problemas conocidos en XenMobile Service 10.18.1

Si el servidor SQL se implementa en un dominio secundario o si se utiliza un inicio de sesión en la base de datos del dominio secundario, Microsoft Java Database Connectivity (JDBC) falla con la Autenticación de Windows. [CXM-42969]

XenMobile Service 10.7.6

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Directiva de Device Guard para dispositivos Windows 10

Device Guard es una función de seguridad de Windows 10 que permite una seguridad en la virtualización porque usa el hipervisor de Windows para poder respaldar servicios de seguridad en el dispositivo. Con esta nueva directiva de dispositivo, Device Guard, puede habilitar funciones de seguridad, tales como el arranque seguro, el bloqueo UEFI y la virtualización.

Prerequisites:

  • Escritorios y tabletas Windows 10 con una licencia Enterprise o Education, versión 1709 (RS3)
  • Device Guard habilitado en Windows

Para obtener más información sobre Device Guard, consulte https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard-manage.

Para agregar la directiva de Device Guard, vaya a Configurar > Directivas de dispositivo. Configure estos parámetros:

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Habilitar seguridad basada en virtualización (VBS): Inhabilitar o habilitar las funciones de seguridad basadas en la virtualización. La seguridad basada en la virtualización utiliza el hipervisor de Windows para respaldar los servicios de seguridad.
  • Indicadores de configuración de LSA: Permite configurar Credential Guard. Este parámetro permite a los usuarios activar Credential Guard con la seguridad basada en la virtualización para ayudarles a proteger las credenciales en el siguiente reinicio. Las opciones son: Desactivado, Activado con bloqueo UEFI y Activado sin bloqueo UEFI. El valor predeterminado es No (desactivado).
  • Requerir funciones de seguridad de la plataforma: Especifica el nivel de seguridad de la plataforma en el siguiente reinicio. Las opciones son: No, VBS con Arranque seguro y VBS con Arranque seguro y acceso directo a memoria (DMA). El valor predeterminado es No (desactivado).

XenMobile consulta un dispositivo para determinar si la configuración de seguridad basada en la virtualización coincide con la configuración en el servidor. Si son iguales, XenMobile no implementa esta directiva en el dispositivo. Si la configuración de seguridad no coincide, XenMobile implementa la directiva.

Configurar firewalls en dispositivos Windows 10

Ahora, puede configurar firewalls en dispositivos de escritorio y tableta Windows 10 que ejecutan Windows 10 RS3 y versiones posteriores. Vaya a Configurar > Directivas de dispositivo y agregue o modifique la directiva de firewall. Configure estos parámetros:

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Habilitar función: Controla el tráfico entrante y saliente de los equipos en los que se implementará esta directiva. Está activada de manera predeterminada.
  • Perfil público: Controla el Firewall de Windows mientras los equipos están conectados a redes que no son de confianza en los sitios públicos (por ejemplo, en una cafetería o un aeropuerto). Está activada de manera predeterminada.
  • Perfil privado: Controla el Firewall de Windows mientras los equipos están conectados a redes de confianza (por ejemplo, la red doméstica). Está activada de manera predeterminada.
  • Perfil de dominio: Controla el Firewall de Windows mientras los equipos están conectados a redes de dominio (por ejemplo, el lugar de trabajo). Está activada de manera predeterminada.
  • Bloquear todas las conexiones entrantes, incluidas las de la lista de programas permitidos: El valor predeterminado es No (desactivado).
  • Inhabilitar las notificaciones al usuario cuando el firewall bloquea un programa nuevo: El valor predeterminado es No (desactivado).

Cambios en propiedades de servidor para mejorar ajustes de servidores

Para varias propiedades de servidor utilizadas para ajustar las operaciones de XenMobile, los valores predeterminados ahora coinciden con los valores recomendados. Para obtener más información, consulte Tuning XenMobile Operations.

Éstas son las propiedades de servidor actualizadas, con sus nuevos valores predeterminados entre paréntesis:

  • hibernate.c3p0.timeout (120 seg)
  • Intervalo de latido de Push Services: ios.apns.heartbeat.interval, windows.wns.heartbeat.interval, gcm.heartbeat.interval (20 horas)
  • Implementación en segundo plano (1440 minutos)
  • Inventario de hardware en segundo plano (1440 minutos)
  • Intervalo de verificación de usuarios eliminados de AD (15 minutos)
  • Además, el valor predeterminado de esta propiedad de servidor ha cambiado al que se recomienda en Propiedades de servidor.
  • Bloquear inscripción de dispositivos iOS y Android liberados por jailbreak o rooting (verdadero)

Ahora puede ajustar aún más XenMobile Server a través de estas propiedades de servidor personalizadas que no se habían documentado previamente.

Clave personalizada: hibernate.c3p0.min_size

Esta propiedad de XenMobile Server, una clave personalizada (Custom Key), determina la cantidad mínima de conexiones que abre XenMobile a la base de datos de SQL Server. El valor predeterminado es 50.

Para cambiar este parámetro, debe agregar una propiedad de servidor a XenMobile Server con esta configuración:

  • Clave: Clave personalizada
  • Clave: hibernate.c3p0.min_size
  • Valor: 50
  • Nombre simplificado: hibernate.c3p0.min_size=nnn
  • Descripción: DB connections to SQL

Clave personalizada: hibernate.c3p0.idle_test_period

Esta propiedad de XenMobile Server, una clave personalizada (Custom Key), determina el tiempo de inactividad, en segundos, antes de que se valide automáticamente una conexión. El valor predeterminado es 30.

Para cambiar este parámetro, debe agregar una propiedad de servidor a XenMobile Server con esta configuración:

  • Clave: Clave personalizada
  • Clave: hibernate.c3p0. idle_test_period
  • Valor: 30
  • Nombre simplificado: hibernate.c3p0. idle_test_period =nnn
  • Descripción: Hibernate idle test period

Problemas resueltos en XenMobile Service 10.7.6

Después de actualizar XenMobile desde la versión 10.5 a 10.6, al realizar una acción en un dispositivo (como borrado de dispositivo), el servidor registra en bucle la acción de seguridad y el tamaño de la base de datos aumenta considerablemente. [CXM-43020]

Si el nombre descriptivo de una propiedad de servidor está establecido en NULL, la búsqueda de cualquier cadena en la página Parámetros > Propiedades del servidor da como resultado un error interno de servidor (“500 Internal Server Error”). [CXM-43469]

Problemas conocidos en XenMobile Service 10.7.6

En la página Administrar > Dispositivos, al modificar un dispositivo iOS e ir a la ficha Aplicaciones, la columna Versión no contiene el número de revisión de Secure Hub ni las aplicaciones MDX. [CXM-40183]

En caso de una directiva de restricciones para Samsung SAFE, se han quitado las opciones Explorador Web, YouTube y Google Play/Marketplace. Utilice la opción Inhabilitar aplicaciones para habilitar o inhabilitar esas funcionalidades. [CXM-43043]

XenMobile Service 10.7.5

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Página “Supervisar” para administradores de asistencia

Ahora puede supervisar y solucionar problemas de XenMobile Service desde la nueva página Supervisar. Esa interfaz está personalizada para que los administradores del servicio de ayuda puedan solucionar eficientemente los problemas de los usuarios.

Los administradores de asistencia técnica (Help Desk) deben tener los siguientes permisos para acceder a la ficha Supervisar y a todos los flujos de trabajo disponibles:

  • Acceso autorizado
    • Acceso de administrador a la consola
    • Acceso a API públicas
  • Funciones de la consola
    • Supervisión
    • Dispositivos
    • Borrado completo de dispositivos
    • Ver ubicaciones
      • Localizar dispositivos
      • Seguimiento de dispositivos
    • Bloquear dispositivo
    • Desbloquear dispositivo
    • Bloqueo de aplicaciones
    • Borrado de aplicaciones
    • Apps (Aplicación)

La página Supervisar ofrece una vista centralizada de la configuración y las directivas de dispositivo. La vista incluye acciones para solucionar problemas (como bloqueo o desbloqueo de aplicaciones, borrado de aplicaciones, bloqueo o desbloqueo de dispositivos y borrado de dispositivos).

Imagen de la pantalla de Citrix Cloud Monitor

Use la página Supervisar para:

  • Buscar el usuario de Active Directory (AD) y el dispositivo que presenten problemas.
  • Analizar la página Detalles del dispositivo que contiene:
    • Directivas: Muestra las directivas de dispositivo y aplicación relativas al dispositivo y la aplicación seleccionados. Para obtener información sobre cómo modificar las directivas, consulte Directivas de dispositivo y Agregar aplicaciones.
    • Configuración: Muestra la configuración del dispositivo. Este panel contiene iconos que indican si el dispositivo tiene habilitados los servicios de localización geográfica, está liberado por jailbreak o está administrado por MAM o MDM. El panel muestra también el estado de cifrado del almacenamiento.
    • Tabla de Aplicaciones en ejecución. Muestra los datos de las aplicaciones activas en el dispositivo.
  • Solucionar los problemas del dispositivo. Las acciones de seguridad disponibles en esta página se basan en la inscripción del dispositivo y los permisos disponibles para el administrador que inició sesión:
    • Bloquear o desbloquear dispositivo
    • Borrar dispositivo
    • Bloquear o desbloquear aplicación (disponible si el dispositivo está inscrito como dispositivo MAM)
    • Borrar aplicación (disponible si el dispositivo está inscrito como dispositivo MAM)

Para obtener información acerca de las acciones de que dispone, consulte Acciones de seguridad.

Es posible que la página “Supervisar” no funcione según lo esperado durante los 60 minutos posteriores a su última carga, ya que no gestiona las actualizaciones del token de inicio de sesión. Como solución temporal, puede actualizar el token. Para ello, vuelva a cargar la página: haga clic en el enlace Citrix Cloud ubicado en la consola del servicio y, a continuación, haga clic en XenMobile Service > Administrar > Supervisar.

Puede compartir sus comentarios sobre la utilidad de esta función en el foro de Citrix Cloud.

Acceso a las herramientas de XenMobile desde la consola de XenMobile

Ahora puede acceder a estas herramientas de XenMobile desde la consola de XenMobile:

  • XenMobile Analyzer: Con esta herramienta, puede identificar y clasificar los posibles problemas que puedan presentarse en la implementación.
  • Portal APNS: Con esta herramienta, puede enviar una solicitud a Citrix para que firme un certificado APNs que, a continuación, enviará a Apple.
  • Auto Discovery Service: Con esta herramienta, puede solicitar y configurar la detección automática del XenMobile Server de su dominio.
  • Administrar notificaciones push: Con esta herramienta, puede administrar las notificaciones push de las aplicaciones de XenMobile Apps para iOS y Windows.
  • MDX Service. Con esta herramienta, puede empaquetar aplicaciones y, a continuación, administrarlas mediante XenMobile.

Para acceder a estas herramientas, vaya a Parámetros > XenMobile Tools. Esta página está disponible para los usuarios con el rol de administrador de Cloud o administrador de clientes de Cloud.

Imagen de la pantalla de herramientas de XenMobile

Usar Windows AutoPilot para instalar y configurar dispositivos

Windows AutoPilot es un conjunto de tecnologías que se utilizan para instalar y preconfigurar dispositivos nuevos y, así, prepararlos para usarlos productivamente. Puede usar Windows AutoPilot para restablecer, reasignar y recuperar dispositivos. AutoPilot contribuye a eliminar parte de la complejidad que presenta actualmente la implementación de sistema operativo. Con AutoPilot, la tarea se reduce a un conjunto de operaciones y configuraciones simples para una preparación rápida y eficaz de los dispositivos nuevos.

Requisitos previos:

  • Dispositivos registrados en la organización en el portal de la Tienda Microsoft para Empresas.
  • Personalización de marca de la empresa configurada en el portal de Azure Active Directory.
  • La empresa tiene una suscripción Premium P1 o P2 de Azure Active Directory.
  • Configure Citrix Identity Platform como el tipo de IdP para XenMobile: en la consola de XenMobile, vaya a Parámetros > Proveedor de identidad (IdP). Para obtener más información, consulte Azure Active Directory como proveedor de identidades.
  • Conectividad de red a los servicios de nube que usa Windows AutoPilot.
  • Dispositivos con Windows 10 Professional, Enterprise o Education preinstalado, versión 1703 o posterior.
  • Dispositivos con acceso a Internet.

Para obtener más información sobre la configuración de requisitos previos, consulte https://docs.microsoft.com/en-us/windows/deployment/windows-10-auto-pilot.

Para configurar Windows Automatic Redeployment en XenMobile para los dispositivos de AutoPilot:

  1. Siga los pasos para agregar una directiva de XML personalizado a Directiva de contenido XML personalizado. Agregue lo siguiente a XML Content:

    <Add>
    <CmdID>_cmdid_</CmdID>
    <Item>
    <Target>
    <LocURI>./Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials</LocURI>
    </Target>
    <Meta>
    <Format xmlns="syncml:metinf">int</Format>
    </Meta>
    <Data>0</Data>
    </Item>
    </Add>
    
  2. En la pantalla de bloqueo de Windows, escriba las teclas CTRL + tecla Windows + R.

  3. Inicie sesión con una cuenta de Azure Active Directory.

  4. El dispositivo verifica que el usuario tenga derechos para volver a implementar el dispositivo. A continuación, el dispositivo vuelve a implementarse.

  5. Después de que el dispositivo se actualice con la configuración de AutoPilot, el usuario puede iniciar sesión en el dispositivo recién configurado.

Más restricciones para dispositivos Android for Work

Ahora puede administrar más restricciones para dispositivos Android for Work desde la página Configurar > Directivas de dispositivo > Directiva de restricciones.

Imagen de la pantalla de configuración de Directivas de dispositivo

Cada uno de estos parámetros está disponible para Android 5.0 y versiones posteriores, a menos que se indique lo contrario.

  • Transferencia de archivos: Permite la transferencia de archivos a través de USB. El valor predeterminado es No (desactivado).
  • Tethering (anclaje a red): Permite a los usuarios a configurar zonas hotspot portátiles y anclar datos. El valor predeterminado es No (desactivado).
  • Permitir copiar y pegar: Permite o impide el uso del portapapeles para copiar y pegar elementos entre las aplicaciones del perfil de Android for Work y las aplicaciones del área personal. El valor predeterminado es No (desactivado).
  • Habilitar verificación de la aplicación: Permite al sistema operativo examinar aplicaciones para detectar comportamiento malintencionado. Está activada de manera predeterminada.
  • Permitir al usuario controlar los parámetros de la aplicación: Permite a los usuarios desinstalar aplicaciones, inhabilitarlas, borrar la memoria caché y los datos, forzar la detención de cualquier aplicación y borrar los valores predeterminados. El valor predeterminado es No (desactivado).
  • Permitir contactos del perfil de trabajo en los contactos del dispositivo: Muestra los contactos del perfil de Android for Work administrado en el perfil principal para las llamadas entrantes. El valor predeterminado es No (desactivado). (Android 7.0 y versiones posteriores)

Consulte Directivas de dispositivo para obtener más información sobre cómo configurar directivas de dispositivo.

Implementación de actualizaciones del sistema operativo en dispositivos administrados de Android for Work

Ahora puede usar la directiva de control de actualizaciones del sistema operativo para implementar actualizaciones del sistema operativo en dispositivos administrados de Android for Work (Android 7.0 y versiones posteriores). Para configurar la directiva, vaya a Configurar > Directivas de dispositivo.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros de Android for Work:

  • Directiva de actualización del sistema:. Determina cuándo se producen las actualizaciones del sistema. Con la opción Automática, una actualización se instala cuando esté disponible. En el modo Intervalo, una actualización se instala automáticamente durante el intervalo de mantenimiento diario, especificado con los campos Hora de inicio y Hora de fin. La opción Posponer permite que un usuario posponga una actualización a un máximo de 30 días.
    • Hora de inicio: El inicio del intervalo de mantenimiento, medido en cantidad de minutos (0 - 1440) desde la medianoche según la hora local del dispositivo. El valor predeterminado es 0.
    • Hora de fin: La finalización del intervalo de mantenimiento, medido en cantidad de minutos (0 - 1440) desde la medianoche según la hora local del dispositivo. El valor predeterminado es 120.

Especificar el comportamiento cuando las aplicaciones de Android for Work soliciten permisos peligrosos

En caso de solicitudes a aplicaciones Android for Work incluidas en los perfiles de trabajo, una nueva directiva de dispositivo permite configurar cómo gestionan esas solicitudes lo que Google considera permisos “peligrosos”. Usted controla si solicitar a los usuarios que concedan o denieguen una solicitud de permiso por parte de las aplicaciones. Esta función es para dispositivos que ejecutan Android 7.0 y versiones posteriores.

Google define como peligrosos aquellos permisos que otorgan a una aplicación acceso a:

  • Datos o recursos que implican una información privada del usuario.
  • Recursos que pueden afectar a los datos guardados de un usuario o el funcionamiento de otras aplicaciones. Por ejemplo, la capacidad de leer contactos de usuario es un permiso peligroso.

En caso de aplicaciones Android for Work incluidas en los perfiles de trabajo, puede configurar un estado global que controle el comportamiento de todas las solicitudes de permisos peligrosos a las aplicaciones. También puede controlar el comportamiento de la solicitud de permisos peligrosos para grupos de permisos individuales, según lo definido por Google, para cada aplicación. Esas configuraciones individuales prevalecen sobre el estado global.

Para obtener información sobre cómo Google define los grupos de permisos, consulte “Permission groups” en la Guía de desarrolladores de Android.

De forma predeterminada, se solicitará a los usuarios que concedan o denieguen las solicitudes de permisos peligrosos.

Para configurar los permisos de las aplicaciones Android for Work, vaya a Configurar > Directivas de dispositivo y agregue la directiva Permisos de Android for Work. Esta directiva solo se aplica a las aplicaciones que haya agregado y aprobado desde la consola de Google Play y, a continuación, haya agregado a XenMobile como aplicaciones de tienda pública.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros.

  • Estado global. Controla el comportamiento de todas las solicitudes de permisos peligrosos. En la lista, haga clic en Preguntar, Conceder o Denegar. El valor predeterminado es Preguntar.
    • Preguntar: Solicita a los usuarios que concedan o denieguen las solicitudes de permisos peligrosos.
    • Conceder: Concede todas las solicitudes de permisos peligrosos sin preguntar a los usuarios.
    • Denegar: Deniega todas las solicitudes de permisos peligrosos sin preguntar a los usuarios.
  • Para anular el Estado global de un grupo de permisos, defina un comportamiento individual para el grupo de permisos. Para definir la configuración de un grupo de permisos, haga clic en Agregar, elija una aplicación de la lista y, a continuación, elija un Estado de acceso.

Establecer mensajes para que aparezcan en la pantalla de bloqueo de dispositivos iOS perdidos

Una nueva directiva de dispositivo llamada “Mensaje de la pantalla bloqueada” permite establecer mensajes para que aparezcan en estos dispositivos si se pierden:

  • La ventana de inicio de sesión en iPads compartidos
  • La pantalla de bloqueo en dispositivos iOS supervisados

Para agregar la directiva, vaya a Configurar > Directivas de dispositivo y agregue Mensaje de la pantalla bloqueada.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros:

  • Datos de la etiqueta de inventario del dispositivo: Etiqueta de inventario del dispositivo. Los dispositivos Apple truncan las cadenas largas, así que debe verificar las cadenas antes de implementar la directiva en producción. La longitud de las cadenas depende del modelo del dispositivo Apple y de la configuración de Apple, que puede cambiar. (iOS 9.3 y posterior)
  • Nota al pie en la ventana de inicio de sesión y en la pantalla bloqueada: Información de ayuda para devolver el dispositivo, como una dirección u otros datos de contacto. Los dispositivos Apple truncan las cadenas largas, así que debe verificar las cadenas antes de implementar la directiva en producción. La longitud de las cadenas depende del modelo del dispositivo Apple y de la configuración de Apple, que puede cambiar. (iOS 9.3.1 y posterior)
  • Quitar directiva: Seleccione una fecha o una hora de caducidad para la directiva que va a caducar. El mensaje de la pantalla bloqueada deja de aparecer pasado este período de tiempo.
  • Permitir al usuario quitar la directiva: Seleccione si quiere permitir a los usuarios que quiten el mensaje de la pantalla bloqueada. Las opciones son: Siempre, Se requiere contraseña o Nunca.

Consulte Directivas de dispositivo para obtener más información sobre cómo configurar directivas de dispositivo.

Nuevas API de REST

La API pública de XenMobile para servicios REST incluye estas API nuevas:

  • Get Users by Filter (Obtener usuarios mediante filtro)
  • Remove Enrollment Token (Quitar token de inscripción)

Para obtener más información, descargue el PDF XenMobile Public API for REST Services y consulte la sección 3.12.1 (Get Users by Filter) y la sección 3.19.7 (Remove Enrollment Token).

Problemas resueltos en XenMobile Service 10.7.5

Los administradores RBAC no pueden ver los dispositivos administrados en la consola de XenMobile Server. Se produce el error interno 500 del servidor. [CXM-41147]

Cuando se configura una directiva de configuración de aplicaciones para iOS, si el contenido del diccionario incluye el delimitador “\&”, el código XML no funciona en los dispositivos. El error de validación de XML que consta en el registro es similar a: La referencia al “nombre” de la entidad debe terminar con el delimitador ‘;’. [CXM-41883]

La cantidad de borrados selectivos pendientes que aparece en el panel de mandos de XenMobile no coincide con la cantidad mostrada en la ficha Analizar. [CXM-42020]

En ciertas versiones, la comprobación que realiza la función de actualizaciones de aplicaciones no funciona correctamente. [CXM-42388]

Problemas conocidos en XenMobile Service 10.7.5

Para dispositivos iOS 11 inscritos con MDM, cuando se implementa XenMobile en una configuración de clúster en modo MDM o MDM + MAM, pueden fallar los comandos de MDM. Como resultado, se pueden dar estos problemas:

  • No puede enviar directivas MDM o implementar aplicaciones
  • No puede realizar acciones de seguridad (como el bloqueo o el borrado) en dispositivos iOS 11.
  • En los dispositivos de usuario, se pueden dar estos problemas:
    • Las aplicaciones siguen intentando instalarse
    • Las configuraciones VPN o Wi-Fi no se pueden instalar
    • Las acciones de seguridad, como Bloquear, se dan repetidamente.

Para obtener más información sobre el problema y la acción necesaria, consulte este artículo de Citrix Knowledge Center. https://support.citrix.com/article/CTX227406. [CXM-38331]

XenMobile Service 10.7.4

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Inicio de sesión único con Azure Active Directory

XenMobile Service admite el inicio de sesión unificado (Single Sign-On) con credenciales de Azure Active Directory en las siguientes situaciones:

  • Inscripción de usuarios a través de Citrix Secure Hub (iOS o Android)
  • Para el rol Usuario de RBAC, la autenticación en el portal de XenMobile Self Help Portal
  • Autenticación de administrador en la consola de XenMobile
  • Para XenMobile Service, la autenticación de administrador en la API pública de XenMobile para servicios REST mediante un token obtenido con la API de Citrix Cloud.
  • Para obtener más información, consulte la sección 3.3.2, Login (Cloud Credentials), en el documento PDF XenMobilePublic API for REST Services.

XenMobile Service utiliza el servicio de Citrix Cloud llamado “Citrix Identity Platform” para federar con Azure Active Directory. Citrix Identity Platform es un servicio de proveedor de identidades (IdP).

Para configurar este servicio, Citrix Cloud se configura para usar Azure Active Directory como el proveedor de identidades. Luego, Citrix Identity Platform se configura como tipo de IdP para XenMobile Server. A partir de entonces, los usuarios pueden iniciar sesión en Secure Hub con sus credenciales de Azure Active Directory. Secure Hub utiliza la autenticación por certificado de cliente para los dispositivos MAM.

Citrix recomienda usar Citrix Identity Platform en lugar de una conexión directa a Azure Active Directory.

Requisitos previos para el inicio de sesión único en Azure Active Directory

  • XenMobile Server, configurado en modo Enterprise, MDM o solo MAM
  • NetScaler Gateway, configurado para la autenticación por certificados
  • Secure Hub 10.7.20 (versión mínima)
  • Credenciales de usuario de Azure Active Directory

Configurar Citrix Cloud para que use Azure Active Directory como proveedor de identidades

Para configurar Azure Active Directory en Citrix Cloud:

  1. Vaya a https://citrix.cloud.com e inicie sesión en su cuenta de Citrix Cloud.

  2. En el menú de Citrix Cloud, vaya a la página Administración de acceso e identidad y conéctese a Azure Active Directory.

    Imagen de la pantalla de Citrix Cloud

  3. Escriba su URL de inicio de sesión de administrador y haga clic en Conectar.

    Imagen de la pantalla de Citrix Cloud

  4. Una vez iniciada la sesión, su cuenta de Azure Active Directory se conecta a Citrix Cloud. La página Administración de acceso e identidad > Autenticación muestra las cuentas a usar para iniciar sesión en las cuentas de Citrix Cloud y Azure AD.

    Imagen de la pantalla de Citrix Cloud

Configure Citrix Identity Platform como el tipo de IdP para XenMobile Server

Después de configurar Azure Active Directory en Citrix Cloud, configure XenMobile Server de esta manera.

  1. En la consola de XenMobile, vaya a Parámetros > Proveedor de identidades (IdP) y, a continuación, haga clic en Agregar.

  2. En la página Proveedor de identidades (IdP), configure lo siguiente:

    Imagen de la pantalla de configuración de IdP

    • Nombre de IdP: Escriba un nombre único para la conexión del proveedor de identidades que está creando.
    • Tipo de IdP: Elija Citrix Identity Platform.
    • Dominio de autenticación: Seleccione el dominio de Citrix Cloud. Si aún no sabe cuál elegir, su dominio aparecerá en la página Administración de acceso e identidad > Autenticación de Citrix Cloud.
  3. Haga clic en Siguiente. En la página Uso de notificaciones IdP, configure lo siguiente:

    Imagen de la pantalla de configuración de IdP

    • Tipo de identificador de usuario: Este campo se establece como userPrincipalName.
    • Cadena de identificador del usuario: Este campo se rellena automáticamente.
  4. Haga clic en Siguiente, revise la información de la página Resumen y, a continuación, haga clic en Guardar.

    Ahora, los usuarios de Secure Hub, la consola de XenMobile y Self Help Portal pueden iniciar sesión con sus credenciales de Azure Active Directory.

Secuencia de autenticación de usuario y administrador en XenMobile Server

La pantalla de inicio de sesión que aparece en la consola de XenMobile y en el portal Self Help de XenMobile contiene el enlace Iniciar sesión con mis credenciales de empresa.

Imagen del inicio de sesión en XenMobile

Haga clic en ese enlace para introducir sus credenciales de Azure Active Directory. Después de esta autenticación, XenMobile ya no necesita que inicie sesión en un acceso futuro.

Si inicia sesión en la consola de XenMobile o en Self Help Portal desde dispositivos unidos a un dominio y hace clic en el enlace Iniciar sesión con mis credenciales de empresa, XenMobile ofrece una experiencia de inicio de sesión único. No aparece ninguna solicitud de autenticación.

Secuencia de autenticación en Secure Hub

Con XenMobile configurado para usar Citrix Identity Platform como proveedor de identidades, la secuencia de autenticación de Secure Hub es la siguiente para un dispositivo inscrito a través de Secure Hub:

  1. Un usuario inicia Secure Hub.
  2. Secure Hub transfiere la solicitud de autenticación a Citrix Identity Platform, que a su vez la transfiere a Azure Active Directory.
  3. El usuario escribe su nombre de usuario y contraseña.
  4. Azure Active Directory valida al usuario y envía un código a Citrix Identity Platform.
  5. Citrix Identity Platform envía el código a Secure Hub, que a su vez lo envía a XenMobile Server.
  6. XenMobile obtiene un token de identificación utilizando el código y el secreto. A continuación, valida la información del usuario que está en el token de identificación. XenMobile devuelve un ID de sesión.

Los usuarios de dispositivos unidos a un dominio pueden usar sus credenciales de Azure Active Directory para una experiencia de inicio de sesión único (Single Sign-On). Para las cuentas locales de XenMobile, Single Sign-On no está disponible.

Implementación de aplicaciones de la Tienda Microsoft para Empresas desde XenMobile

La Tienda Microsoft para Empresas es una ubicación donde puede ver y distribuir aplicaciones gratuitas y de pago en grandes cantidades en su organización. Si conecta XenMobile Server a la Tienda Microsoft para Empresas, las aplicaciones de esta aparecen en la página Configurar > Aplicaciones de la consola de XenMobile. Tras la conexión, puede implementar esas aplicaciones en los dispositivos Windows 10.

XenMobile solo admite la administración de aplicaciones con licencias en línea. Este es el modelo de licencia predeterminado que admite la Tienda Microsoft para Empresas. Este modelo requiere que los usuarios y los dispositivos se conecten a los servicios de la Tienda Microsoft para adquirir una aplicación y su licencia correspondiente.

Para obtener más información sobre Microsoft Store para Empresas, consulte la documentación de Microsoft en https://docs.microsoft.com/en-us/microsoft-store/microsoft-store-for-business-overview.

Requisitos previos para acceder a las aplicaciones de Microsoft Store para Empresas

  • Azure Active Directory

    Para acceder a las aplicaciones de la Tienda Microsoft para Empresas, antes debe configurar Azure Active Directory como proveedor de identidades. Para obtener información sobre cómo realizar esta configuración, consulte Azure Active Directory como proveedor de identidades.

  • Tienda Microsoft para Empresas

Conectar XenMobile Server a la Tienda Microsoft para Empresas

  1. En la página Parámetros de la consola de XenMobile, busque y haga clic en el enlace de la Tienda Microsoft para Empresas.

  2. Configure estos parámetros:

    • Configuración de Azure AD: Seleccione la instancia de Azure Active Directory que ha configurado como parte de los requisitos previos.
    • Sufijo de la aplicación: Introduzca un sufijo que se agregará a todas las aplicaciones provenientes de la Tienda Microsoft para Empresas para una identificación más fácil.
    • Localización o traducción a otros idiomas. Seleccione el idioma a usar para los datos de la aplicación que se descargará desde la Tienda para Empresas a XenMobile.

    Imagen de la pantalla de configuración de Microsoft Store para Empresas

  3. Haga clic en Guardar. XenMobile agrega las aplicaciones de la Tienda Microsoft para Empresas a la página Configurar > Aplicaciones.

    Imagen de la pantalla de configuración de Microsoft Store para Empresas

  4. Para volver a sincronizar las aplicaciones más adelante, vuelva a la página de configuración de la Tienda Microsoft para Empresas y haga clic en el botón Forzar sincronización.

    Imagen de la pantalla de configuración de Microsoft Store para Empresas

Asociar su cuenta de Tienda Microsoft para Empresas a XenMobile

  1. Inicie sesión en la Tienda Microsoft para Empresas con la misma cuenta de inquilino (arrendatario) que usa para iniciar sesión en Azure Active Directory.
  2. En la Tienda para empresas, elija Configuración > Herramientas de administración.
  3. En la página Herramientas de administración, seleccione Agregar una herramienta de administración y elija XenMobile.

Sincronizar aplicaciones con la Tienda Microsoft para Empresas

De forma predeterminada, XenMobile se sincroniza con la Tienda Microsoft para Empresas cada 24 horas. Para forzar una sincronización, vaya a Parámetros > Tienda Microsoft para Empresas y haga clic en Forzar sincronización.

Imagen de la pantalla de configuración de Microsoft Store para Empresas

Para cambiar el intervalo de sincronización, vaya a Parámetros > Propiedades de servidor y actualice el valor de la propiedad de servidor Intervalo de línea base mínimo de MSB.

Asignar aplicaciones de la Tienda para Empresas a grupos de entrega

Las aplicaciones sincronizadas con la Tienda Microsoft para Empresas tienen el sufijo que configuró en la página Parámetros > Tienda Microsoft para Empresas.

Imagen de la pantalla de configuración de aplicaciones

  1. Para agregar esas aplicaciones a grupos de entrega, vaya a Configurar > Grupos de entrega, seleccione un grupo, haga clic en Modificar y, a continuación, haga clic en Aplicaciones. Mueva las aplicaciones a la lista Aplicaciones obligatorias.
  2. Vaya a Configurar > Aplicaciones. Seleccione una o varias aplicaciones, haga clic en Modificar y, a continuación, haga clic en Asignaciones de grupo de entrega.

Revocar la licencia de un usuario a una aplicación

  1. Vaya a Configurar > Aplicaciones, seleccione la aplicación de la Tienda para Empresas y, a continuación, haga clic en Modificar.

  2. En Plataforma, haga clic en Escritorio o tableta Windows.

  3. Desplácese hacia abajo y expanda Tienda Microsoft para Empresas.

    Imagen de la pantalla de configuración de aplicaciones

  4. Seleccione al usuario y haga clic en Desasociar.

    Imagen de la pantalla de configuración de aplicaciones

Control de las actualizaciones que se instalan en escritorios o tabletas Windows

La directiva de control de actualizaciones del sistema operativo, que implementa las actualizaciones de SO en los dispositivos supervisados (tabletas y escritorios) con Windows 10, ofrece una nueva función. Ahora puede indicar si instalar solo las actualizaciones aprobadas. XenMobile gestiona las actualizaciones de la siguiente manera:

  • Cuando se trata de una actualización de seguridad (por ejemplo, definiciones de Windows Defender), XenMobile aprueba automáticamente la actualización y envía un comando de instalación al dispositivo durante la siguiente sincronización.
  • Cuando se trata de todos los demás tipos de actualización, XenMobile espera su aprobación antes de enviar el comando de instalación al dispositivo.

Requisito

Debe cargar el certificado raíz de Microsoft en XenMobile Server como un certificado de servidor. Para obtener el certificado, vaya a http://go.microsoft.com/fwlink/?linkid=747875&clcid=0x409. Después de cargar el certificado en XenMobile, reinicie XenMobile Server. Para obtener información sobre cómo importar un certificado de servidor, consulte “Para importar un certificado” en Certificados y autenticación.

Instalar solo las actualizaciones aprobadas

  1. Vaya a Configurar > Directivas de dispositivo y abra la directiva de control de actualizaciones del SO.
  2. Cambie el parámetro Permitir solo las actualizaciones en la lista de aprobación a Sí, instalar solo actualizaciones aprobadas.

Aprobar una actualización

  1. En la directiva de control de actualizaciones del SO, desplácese hacia abajo hasta la tabla Actualizaciones pendientes. XenMobile obtiene las actualizaciones que aparecen en la tabla desde los dispositivos.

  2. Busque actualizaciones con un estado de aprobación que sea Pendiente.

  3. Haga clic en la fila de la actualización que quiere aprobar y, a continuación, haga clic en el icono de modificación de esa fila (en la columna Agregar).

    Imagen de la pantalla de configuración de Directivas de dispositivo

  4. Para aprobar la actualización, haga clic en Aprobada y, a continuación, haga clic en Guardar.

    Imagen de la pantalla de configuración de Directivas de dispositivo

Nota: Aunque la tabla “Actualizaciones pendientes” contiene los comandos de agregar y eliminar, esos comandos no producen ningún cambio en la base de datos de XenMobile. Modificar el estado de la aprobación es la única acción disponible para las actualizaciones pendientes.

Para ver el estado de actualizaciones Windows de un dispositivo, vaya a Administrar > Dispositivos > Propiedades.

Imagen de la pantalla de configuración de dispositivos

Cuando se publica una actualización, el ID de actualización aparece en la primera columna con un estado (Correcto o Fallo). Puede crear un informe o una acción automatizada para dispositivos con actualizaciones fallidas. También aparecen la fecha y la hora de la publicación.

Cómo funcionan las actualizaciones para implementaciones nuevas y posteriores

El efecto que produce la directiva de control de actualizaciones del SO difiere según si se trata de una primera implementación en un dispositivo o una implementación posterior (donde el dispositivo ya había obtenido actualizaciones).

  • Para que XenMobile consulte las actualizaciones de un dispositivo, debe configurar y asignar a un grupo de entrega al menos una directiva de control de actualizaciones del SO.

    XenMobile consulta a un dispositivo para saber si hay actualizaciones que se puedan instalar durante la sincronización MDM de ese dispositivo.

  • Una vez implementada la primera directiva de control de actualizaciones del SO, la lista de actualizaciones Windows está vacía porque ningún dispositivo ha informado aún sobre las actualizaciones que puedan necesitar.
  • Cuando los dispositivos que se encuentren en el grupo de entrega asignado informen de actualizaciones necesarias, XenMobile guardará esas actualizaciones en su base de datos. Para aprobar las actualizaciones notificadas, modifique de nuevo la directiva.

    La aprobación de las actualizaciones solo se aplica a la directiva que se modifica. Las actualizaciones aprobadas en una directiva no se muestran como aprobadas en otra directiva. La próxima vez que se sincronice el dispositivo, XenMobile le enviará un comando para indicarle que se ha aprobado la actualización.

  • Para una segunda directiva de control de actualizaciones del SO, la lista de actualizaciones ya contiene las actualizaciones guardadas en la base de datos de XenMobile. Debe aprobar las actualizaciones de cada directiva.

    Durante cada sincronización de dispositivo, XenMobile consulta a ese dispositivo el estado de una actualización aprobada hasta que el dispositivo informa de esa actualización como instalada. Para las actualizaciones que requieren el reinicio del dispositivo después de instalar la actualización, XenMobile consulta el estado de la actualización hasta que el dispositivo informa que está instalada.

  • XenMobile no restringe las actualizaciones que se muestran en la página de configuración de directiva por dispositivo o grupo de entrega. Aparecen en la lista todas aquellas actualizaciones sobre las que hayan informado los dispositivos.

Inventario y eliminación de aplicaciones Win32

Ahora puede determinar si las aplicaciones Win32 presentes en los dispositivos de usuario cumplen la directiva de acceso a aplicaciones. Para ver un inventario de las aplicaciones Win32 que están presentes en dispositivos administrados de tabletas y escritorios Windows 10:

  1. Vaya a Configurar > Directivas de dispositivo y agregue una directiva de inventario de aplicaciones para la plataforma Escritorio o tableta Windows. Implemente la directiva.

  2. Vaya a Administrar > Dispositivos, seleccione el dispositivo Windows 10 que quiere ver, haga clic en Modificar y, a continuación, haga clic en la ficha Aplicaciones.

    Se muestran los resultados del inventario.

    Imagen de la pantalla de configuración de dispositivos

  3. Compare el inventario de aplicaciones con la directiva de acceso a aplicaciones. Si el dispositivo tiene instaladas aplicaciones que constan en la lista negra, puede eliminarlas de los dispositivos de la siguiente manera.

Problemas de instalación y desinstalación de aplicaciones causados por un código de producto incorrecto

Si una aplicación Win32 se configura con un código de producto incorrecto, al principio la aplicación se instala, pero Microsoft no devuelve el estado de la aplicación a XenMobile. Como resultado de ello:

  • La directiva de desinstalación de aplicaciones no desinstala la aplicación.
  • XenMobile Server sigue implementando la aplicación porque no tiene confirmación de que la aplicación está instalada. Con cada implementación, el dispositivo genera un código de error porque la aplicación ya está instalada. El error que aparece en Administrar > Dispositivo > Detalles de grupo de entrega es del tipo: “Aplicación MSI recibida: Reporting:AppPush id:7z1701-x64.msi: No se pudo ejecutar el comando -2147023293”.

Para corregir el código del producto:

  1. Quite manualmente la aplicación del dispositivo.
  2. En la consola de XenMobile, vaya a Configurar > Aplicaciones y corrija el código del producto de la aplicación Win32.
  3. Implemente la aplicación Win32.

Configuración de firewalls en dispositivos macOS administrados

Ahora puede configurar firewalls en dispositivos administrados que ejecutan macOS 10.12 y versiones posteriores. Vaya a Configurar > Directivas de dispositivo y agregue o modifique la directiva de firewall.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros:

  • Habilitar firewall. Para habilitar el firewall, active esta opción.
  • Bloquear todas las conexiones entrantes Cuando esta opción está activa, bloquea todas las conexiones entrantes, excepto las conexiones necesarias para los servicios básicos.
  • Habilitar el modo sigiloso. En este modo, el dispositivo no responde ni reconoce intentos de acceder a él desde la red por parte de aplicaciones de prueba con ICMP, tales como Ping. Para habilitar este modo, active esta opción.
  • Parámetros de conexión entrante específicos de la aplicación. Para permitir que aplicaciones concretas reciban conexiones, agréguelas y establezca Permitido en Verdadero.

Seguridad mejorada para perfiles de trabajo de Android for Work

Código de acceso para el perfil de trabajo

Para los dispositivos con Android 7.0 y versiones posteriores, ahora puede requerir un código de acceso para las aplicaciones incluidas en un perfil de trabajo de Android for Work. Se solicita a los usuarios que escriban el código cuando intentan abrir una aplicación del perfil de trabajo. Cuando los usuarios introducen el código, pueden acceder a las aplicaciones del perfil de trabajo.

Puede configurar un requisito de código de acceso solo para el perfil de trabajo o para el dispositivo.

Para configurar un requisito de código de acceso para Android for Work, vaya a Configurar > Directivas de dispositivo y agregue o modifique la directiva de códigos de acceso. Haga clic en la página de la plataforma Android for Work y configure estos parámetros:

  • Se requiere un desafío de seguridad del perfil de trabajo: Habilite este parámetro para obligar a los usuarios a completar una comprobación de seguridad si quieren acceder a las aplicaciones que se ejecutan en un perfil de trabajo de Android for Work. Esta opción no está disponible para dispositivos Android con versiones anteriores a Android 7.0. El valor predeterminado es No.
  • Requisitos del código de acceso para el desafío de seguridad del perfil de trabajo:
    • Longitud mínima: En la lista, haga clic en la longitud mínima del código de acceso. El valor predeterminado es 6.
    • Reconocimiento biométrico: Seleccione si habilitar el reconocimiento biométrico. Si se habilita esta opción, se oculta el campo Caracteres requeridos. El valor predeterminado es No. Esta función no se admite actualmente.
    • Caracteres requeridos: En la lista, haga clic en No hay restricciones, Números y letras, Solo números o Solo letras para configurar la composición de los códigos de acceso. Use No hay restricciones solo para dispositivos con Android 7.0. Android 7.1 y las versiones posteriores no respetan el parámetro No hay restricciones. El valor predeterminado es Números y letras.

Directivas de seguridad predeterminadas

De forma predeterminada, los parámetros de depuración por USB y fuentes desconocidas están inhabilitados en un dispositivo cuando se inscribe en Android for Work en el modo de perfil de trabajo.

Otras mejoras

  • Nuevas propiedades de servidor para especificar la cantidad de días después de los cuales un dispositivo iOS o macOS sin conexión se considera inalcanzable. Cuando un dispositivo iOS o macOS alcanza el límite especificado por las siguientes propiedades de servidor, dejan de consultar XenMobile Server. Ambas propiedades tienen un valor predeterminado de 45 días.
    • ios.delayBeforeDeclareUnreachable
    • macos.delayBeforeDeclareUnreachable
  • Formatos de fecha y hora basados en la configuración regional. La fecha y la hora que se muestran en la consola de XenMobile ahora tienen el formato de la configuración regional y la zona horaria del administrador.

    Por ejemplo, 6 p.m. el 20 de noviembre de 2017 se muestra de la siguiente manera:

    U.S. (en-US): 11/20/17 06:00:00 pm
    U.K. (en-GB): 20/11/17 18:00:00
    South Africa (en-ZA): 2017/11/20 06:00:00 pm
    

La API REST pública de XenMobile tiene estos cambios relacionados: los campos createdOn y lastAuthenticated están obsoletos. Use creationDate y lastAuthDate en su lugar. Para obtener más información, descargue el documento PDF XenMobile Public API for REST Services.

  • Cambios en la API pública de REST. La API pública de XenMobile para servicios REST ahora incluye la API “Revoke enrollment tokens” (Revocar tokens de inscripción). Esta API establece el estado de inscripción en caducado. Para obtener más información, descargue el documento PDF XenMobile Public API for REST Services.

Problemas resueltos en XenMobile Service 10.7.4

Solo para entornos Azure: los dispositivos iOS que están desconectados más de siete días no se vuelven a conectar a XenMobile Server hasta que el servidor se reinicie. [CXM-39540]

Los dispositivos iOS con un perfil Telnet instalado no se pueden comunicar con XenMobile Server. Por eso, XenMobile no puede implementar directivas en esos dispositivos. [CXM-40402]

Al importar un archivo ADMX de Citrix Receiver para crear la directiva de configuración de XenMobile Apps: si no especifica un campo obligatorio, XenMobile puede no mostrar el error. Debe especificar todos los campos obligatorios antes de guardar la directiva. [CXM-40664]

Al importar el archivo ADMX de Microsoft Office 2016 para crear la directiva de configuración de XenMobile Apps, puede aparecer este error:

“Error durante el procesamiento admx/office16.admx: cvc-complex-type.3.2.3: no se permite que el atributo ‘noSort’ aparezca en el elemento”. Para evitar este error, edite el archivo office16.admx para eliminar la cadena de texto noSort='true'. Vuelva a comprimir el archivo para cargarlo. [CXM-40750]

El informe que puede exportar desde Administrar > Dispositivos tiene dos columnas con la etiqueta “Tipo de dispositivo ASM DEP”. [CXM-40872]

Es posible que algunas aplicaciones Win32 MSI grandes no se instalen. El error del registro es similar al siguiente: Msi Application received: Reporting:AppPush id:AdbeRdr1000_en_US.msi: Command execution failed -2147023277. [CXM-40890]

Durante la descarga de un archivo APK de Secure Hub a la consola de XenMobile, se produce el error 500, un error interno del servidor. [CXM-41855]

Las acciones NAC escritas en los archivos de registro de la consola crean archivos grandes. [CXM-42071]

Problemas conocidos en XenMobile Service 10.7.4

Para dispositivos iOS preinscritos, después de actualizar a XenMobile Service 10.7.4: si cambia la Vista predeterminada de tienda en Parámetros > Personalización de marca del cliente, los iconos de la carpeta no aparecen en la vista de categorías de Secure Hub. Solución temporal: Toque en el nombre de la carpeta para ver las aplicaciones de esa categoría. [CXM-42091]

Si configura XenMobile Service para el inicio de sesión único mediante Citrix Identity Platform con Azure Active Directory: cuando un administrador o usuario de XenMobile se redirige a la pantalla de inicio de sesión de Azure Active Directory, la pantalla contiene el mensaje “Página de inicio de sesión para Citrix Secure Hub”. Ese mensaje debería ser “Página de inicio de sesión para la consola de Citrix XenMobile”. [CXM-42309]

XenMobile Service 10.7.3

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Implementar aplicaciones Win32 en dispositivos administrados de escritorio y tableta Windows 10

Ahora puede cargar archivos MSI en la consola de XenMobile para implementar aplicaciones Win32 en dispositivos administrados de escritorios y tabletas Windows 10. Después de usar XenMobile para implementar un MSI, el dispositivo Windows instala la aplicación como se muestra a continuación:

  • Si la aplicación actualizada quita la versión antigua durante la instalación, el dispositivo solo contiene la aplicación actualizada.
  • Si la aplicación actualizada no puede quitar la versión anterior, pero se puede instalar la nueva versión, el dispositivo incluye ambas versiones de la aplicación. XenMobile Server ya no contiene la información referente a la versión anterior.
  • Si la aplicación actualizada no se puede instalar cuando existe una versión anterior, no se instala la aplicación nueva. En ese caso, debe implementar la directiva de desinstalación de aplicaciones para quitar la versión anterior. A continuación, puede implementar la nueva versión.

Requisitos

  • Windows 10, versión 1607 (versión mínima)
  • Windows 10 Professional o Windows 10 Enterprise
  • Aplicaciones MSI Win32 independientes instaladas con la opción /quiet. Para este tipo de implementación, Microsoft no admite archivos MSI que contienen varias aplicaciones, archivos MSI anidados ni la instalación interactiva.

Buscar metadatos MSI

Cuando agregue una aplicación Win32 a XenMobile, especifique los metadatos de esa aplicación. Para buscar estos metadatos, use la aplicación Orca en un equipo Windows y tome nota de la información siguiente:

  • Código del producto
  • Nombre del producto
  • Versión del producto
  • Tipo de instalación del paquete, ya sea por usuario o por máquina

Agregar una aplicación Win32 a XenMobile

  1. Vaya a Configurar > Aplicaciones, haga clic en Empresay escriba un nombre para la aplicación en la página Información de la aplicación.

  2. Desmarque las casillas de todas las plataformas salvo Escritorio o tableta Windows.

  3. En la página Aplicación de empresa de escritorio o tableta Windows, haga clic en Cargar y vaya al archivo MSI.

  4. Configure estos parámetros:

    Imagen de la pantalla de configuración de aplicaciones

    • Nombre de la aplicación: El nombre extraído de los metadatos de la aplicación.
    • Descripción: Una descripción de la aplicación.
    • Versión de la aplicación: El número de versión extraído de los metadatos de la aplicación.
    • Versión mínima de SO: Opcional. La versión más antigua de sistema operativo que se puede ejecutar en el dispositivo para utilizar la aplicación.
    • Versión máxima de SO: Opcional. La versión más reciente de sistema operativo que debe ejecutar el dispositivo para utilizar la aplicación.
    • Dispositivos excluidos: Opcional. El fabricante o los modelos de los dispositivos en los que no se puede ejecutar la aplicación.
    • Código de producto: El código de producto de la aplicación MSI, en formato UUID, extraído de los metadatos de la aplicación.
    • Contexto de instalación: En función de los metadatos de la aplicación, seleccione si quiere instalar la aplicación para el usuario o el dispositivo.
    • Línea de comandos: Las opciones de línea de comandos a usar cuando se llama a MSIEXEC.exe
    • Recuento de reintentos: La cantidad de veces que puede volver a intentar la operación de descargar e instalar antes de que la instalación se marque como fallida.
    • Tiempo de espera: La cantidad de minutos que se ejecuta el proceso de instalación antes de que el instalador lo interprete como fallido y deje de supervisar el proceso.
    • Intervalo de reintentos: La cantidad de minutos que transcurren entre las operaciones de nuevos intentos.
  5. Especifique las reglas de implementación y configure la tienda según sea necesario.

  6. Haga clic en Siguiente hasta llegar a la página Resumen y, a continuación, haga clic en Guardar.

  7. Vaya a Configurar > Grupos de entrega y agregue la aplicación Win32 como aplicación obligatoria.

  8. Después de implementarla, indique a los usuarios que la aplicación está disponible.

Actualizar una aplicación Win32

  1. Busque los metadatos de la aplicación como se ha descrito anteriormente en “Buscar metadatos MSI”.
  2. Vaya a Configurar > Aplicaciones para cargar la nueva versión de la aplicación. Actualice la versión de la aplicación. Si la nueva versión de la aplicación tiene otro Código de producto, actualice ese parámetro.
  3. Envíe los cambios e implemente la aplicación.

Respaldo a archivos ADMX para dispositivos de escritorio y tableta con Windows 10

Ahora puede importar parámetros de directivas para plantillas administrativas de Microsoft (ADMX) cuando configure directivas para escritorios y tabletas Windows 10. Use la directiva de configuración de XenMobile Apps para importar un archivo ADMX y definir los parámetros.

  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá la página Agregar nueva directiva.

  3. En “Aplicaciones”, haga clic en Configuración de aplicaciones. Aparecerá la página de información “Directiva de configuración de aplicaciones”.

  4. En el panel “Información de directiva”, escriba la información siguiente:

    • Nombre de directiva. Escriba un nombre descriptivo para la directiva.
    • Descripción. Si quiere, escriba una descripción de la directiva.
  5. Desmarque las casillas de todas las plataformas, salvo Escritorio o tableta Windows y haga clic en Siguiente.

  6. En Tipo de aplicación, seleccione Aplicación Win32.

  7. En Archivo ADMX, importe el archivo ADMX que quiere usar para configurar la directiva.

    Imagen de la pantalla de configuración de Directivas de dispositivo

  8. Haga clic en Agregar para agregar la configuración. Las opciones de configuración del archivo ADMX aparecen en el lado derecho de la página.

    Imagen de la pantalla de configuración de Directivas de dispositivo

  9. Seleccione una ruta para la directiva.

  10. Active la opción Habilitar.

  11. Establezca las demás opciones necesarias para la aplicación:

    • En la lista, introduzca los valores de los elementos como pares clave-valor. Use la cadena de texto “\&#xF000” para separar cada par clave-valor, y el valor y la clave dentro del par.
    • Los valores que requieren un valor decimal pueden requerir valores dentro de un rango específico.
  12. Para agregar otra configuración a esta directiva, haga clic en Agregar y elija otra ruta para la directiva. Repita los pasos 10 y 11.

    Nota: Si elige la misma ruta de directiva más de una vez, se aplica la configuración asociada a la versión más reciente seleccionada.

  13. Haga clic en Siguiente.

  14. Configure las reglas de implementación y elija los grupos de entrega.

Otras mejoras en esta versión

  • Forzar una sincronización con su cuenta VPP. Periódicamente, XenMobile vuelve a importar licencias del Programa de Compras por Volumen (VPP) desde Apple para que estas reflejen todos los cambios. Ahora también puede forzar una sincronización. La página Parámetros > Parámetros de iOS contiene el botón Forzar sincronización.

Después de hacer clic para confirmar la acción, XenMobile importa la información del programa VPP. La importación puede tardar varios minutos, según la cantidad de licencias VPP. Una vez completada la sincronización, XenMobile actualiza la página Parámetros de iOS y cambia la fecha y la hora de sincronización en la nueva columna Fecha de la última sincronización.

Imagen de la pantalla de configuración de ajustes de iOS

  • Respaldo para Windows 10 RS3. Hemos certificado XenMobile 10.7 con Windows 10 RS3 Phone y Tablet.
  • Se permiten macros para campos sin cadena en las directivas de telefonía móvil para dispositivos iOS. Ahora XenMobile permite usar macros para los valores de los campos sin cadena, como el campo “Puerto del servidor proxy”, en la directiva de telefonía móvil de iOS.

Por ejemplo, ahora puede usar una macro como “${device.xyz}” o “${setting.xyz}”, que se expande en un entero. También puede usar las macros en un archivo XML de configuración de dispositivos que importe en XenMobile mediante la directiva de importación de perfiles de iOS y macOS.

  • Inhabilitar aplicaciones en dispositivos Samsung SAFE. En dispositivos Samsung SAFE, puede usar la directiva Restricciones para bloquear la ejecución de una lista de aplicaciones instaladas. De forma predeterminada, el nuevo parámetro Inhabilitar aplicaciones está desactivado, lo que significa que las aplicaciones están habilitadas. Para inhabilitar una aplicación instalada, cambie el parámetro a , haga clic en Agregar en la tabla Lista de aplicaciones y, a continuación, escriba el nombre del paquete de la aplicación.

Cambiar e implementar una lista de aplicaciones sobrescribe la lista anterior de las aplicaciones. Por ejemplo: Si inhabilita com.ejemplo1 y com.ejemplo2 y, más adelante, cambia la lista a com.ejemplo1 y com.ejemplo3, XenMobile habilita com.ejemplo.2.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Más información de estado para la directiva de control de actualizaciones del sistema operativo en dispositivos macOS. Ahora la página Administrar > Dispositivos > Detalles del dispositivo muestra el estado de los exámenes programados de actualizaciones del SO, las actualizaciones disponibles del SO y las actualizaciones programadas de macOS y aplicaciones. El estado proporcionado incluye:
    • Programación enviada del examen de actualizaciones de SO
    • Programación aceptada del examen de actualizaciones de SO
    • Obtención de actualización disponible de SO enviada
    • Obtención de actualización disponible de SO confirmada
    • Instalación de actualización de SO enviada
    • Instalación de actualización de SO confirmada

Imagen de la pantalla de configuración de dispositivos

  • Nuevas propiedades de servidor para especificar la cantidad de días después de los cuales un dispositivo iOS o macOS sin conexión se considera inalcanzable. Cuando un dispositivo iOS o macOS alcanza el límite especificado por las siguientes propiedades de servidor, dejan de consultar XenMobile Server. Ambas propiedades tienen un valor predeterminado de 45 días.
    • ios.delayBeforeDeclareUnreachable
    • macos.delayBeforeDeclareUnreachable
  • Los cambios en las siguientes propiedades de servidor ya no requieren reiniciar XenMobile Server:
    • Agregar dispositivo siempre (secure.device.add.device.always)
    • Cierre de sesión automático (secure.device.auto.logout.after)
    • Implementación en segundo plano (scheduling.background.deployment)
    • Inventario de hardware en segundo plano (scheduling.background.inventory)
    • Bloquear inscripción de dispositivos iOS y Android liberados por jailbreak o rooting (secure.device.forbid.jailbroken.iphones.and.rooted.androids)
    • Renovación de certificado (en segundos) (secure.device.renew.certificate.before)
    • Canal de implementación predeterminado (macos.mdm.deployment.deploymentSplitType)
    • Habilitar triangulación de dispositivos (zdm.device.triangulation.enable)
    • Aplicar SSL (secure.device.enforce.ssl)
    • Inscripción requerida (wsapi.mdm.required.flag)
    • Extracción completa de usuarios permitidos y prohibidos de ActiveSync (mag.policy.baseline.interval.seconds)
    • Máximo de ID de dispositivos (zdm.mag.max.device.ids.asked)
    • Extracción de cambios incrementales de usuarios permitidos y prohibidos (mag.policy.delta.interval.seconds)
    • Autenticación segura (secure.device.enforce.strong.authentication)
    • Servicios Web SOAP (zdm.ws.soap.otp-service.enabled)
    • ID fuerte de 8 caracteres (secure.device.strong.id.short)
    • ID fuerte válido una sola vez (secure.device.strong.id.valid.once)
    • Propiedades del dispositivo definidas por el usuario N
    • Usuarios de Exchange solamente (userOnlyFromExchange)
    • Intervalo máximo de inactividad para la consola de XenMobile MDM Self Help Portal (en minutos) (zdm.console.max.inactive.interval)

Problemas resueltos en XenMobile Service 10.7.3

Al configurar la directiva de telefonía móvil en la consola de XenMobile: usar una macro para un número entero provoca un error; por ejemplo, “Introduzca valores de puerto con un número entero entre 1 y 65535”. Al importar un archivo XML de configuración de dispositivo a XenMobile mediante la directiva de importación de perfiles de iOS y macOS: Usar una macro para un número entero genera un error del tipo “Error de análisis detectado; el archivo seleccionado es un archivo de configuración de iOS que no es válido o está dañado. No se puede analizar: org.xml.sax.InputSource\@69335cc”. [CXM-32005]

Cuando se implementa una directiva de notificaciones para las aplicaciones Mensajes y Wallet en dispositivos iOS, algunas opciones no funcionan según lo previsto. Por ejemplo, no se pueden inhabilitar las notificaciones de las aplicaciones Mensajes y Wallet, y no se pueden inhabilitar sonidos para la aplicación Mensajes. Este problema de terceros es un error de Apple (ID 34591546). [CXM-37529]

Si se utiliza la consola de XenMobile en Internet Explorer, con la configuración regional establecida en “Inglés - Sudáfrica” (en-ZA): la Fecha de la última autenticación que aparece en la página Administrar > Usuarios es incorrecta. [CXM-40028]

No se puede cargar un archivo APK en la consola de XenMobile con “Error 500: Error interno del servidor”. [CXM-40333]

Cuando hace clic con el botón secundario en Secure Web o Secure Mail para Android en la lista Configurar > Aplicaciones y luego hace clic en Mostrar más, puede aparecer el siguiente error: “Ocurrió un error de configuración. Vuelva a intentarlo”. En la sección Puntuación de la aplicación, la ficha Android está vacía. [CXM-40334]

Las acciones de seguridad no funcionan en un nodo que ya se haya inicializado para una notificación push determinada si la notificación se envió desde otro nodo. [CXM-40418]

Cuando solo descarga una nueva versión de iOS como actualización, el campo “Programar actualización del sistema operativo” está vacío en “Parámetros generales” de “Detalles del dispositivo”. [CXM-41066]

Problemas conocidos en XenMobile Service 10.7.3

Solo para entornos Azure: los dispositivos iOS que están desconectados más de siete días no se vuelven a conectar a XenMobile Server hasta que el servidor se reinicie. [CXM-39540]

Para dispositivos que ejecutan Windows 10 RS3 versión 1709 compilación 16299.19: las directivas de configuración de XenMobile Apps creadas mediante la importación de un archivo ADMX de Citrix Receiver pueden fallar cuando se envían a esos dispositivos. [CXM-40521]

Al importar el archivo ADMX de Microsoft Office 2016 para crear la directiva de configuración de XenMobile Apps, puede aparecer este error:

“Error durante el procesamiento admx/office16.admx: cvc-complex-type.3.2.3: no se permite que el atributo ‘noSort’ aparezca en el elemento”. Para evitar este error, edite el archivo office16.admx para eliminar la cadena de texto “noSort=’true’”. Vuelva a comprimir el archivo para cargarlo. [CXM-40750]

Al importar un archivo ADMX de Citrix Receiver para crear la directiva de configuración de XenMobile Apps: si no especifica un campo obligatorio, XenMobile puede no mostrar el error. Debe especificar todos los campos obligatorios antes de guardar la directiva. [CXM-40664]

Es posible que algunas aplicaciones Win32 MSI grandes no se instalen. El error del registro es similar al siguiente: Msi Application received : Reporting:AppPush id:AdbeRdr1000_en_US.msi : Command execution failed -2147023277. [CXM-40890]

XenMobile Service 10.7.2

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Directiva de cifrado FileVault en dispositivos macOS inscritos

En macOS, la funcionalidad de cifrado de disco FileVault protege el volumen del sistema cifrando su contenido. Con FileVault habilitado en un dispositivo macOS, el usuario debe iniciar sesión con su contraseña de cuenta cada vez que se inicia el dispositivo. Si el usuario pierde la contraseña, una clave de recuperación le permite desbloquear el disco y restablecerla.

La directiva de dispositivo de XenMobile llamada FileVault permite al usuario de FileVault configurar pantallas y definir parámetros (como claves de recuperación). Para obtener más información acerca de FileVault, consulte el artículo de asistencia de Apple: https://support.apple.com/kb/PH25107.

  1. Haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar nueva directiva.

  3. Empiece a teclear FileVault y, a continuación, haga clic en ese nombre en los resultados de búsqueda. Aparecerá la página de Información de directiva de FileVault.

  4. En la página Información de directiva, escriba la información siguiente:

    • Nombre de directiva. Escriba un nombre descriptivo para la directiva.
    • Descripción. Si quiere, escriba una descripción de la directiva.
  5. Haga clic en Siguiente y configure los parámetros de plataforma.

Parámetros de macOS

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Solicitar la configuración de FileVault durante el cierre de sesión: Si el valor es (activado), se pide al usuario que habilite FileVault una vez pasados los cierres de sesión indicados en la opción Máximo de veces que se puede omitir la configuración de FileVault. Cuando está desactivado, no aparece la solicitud de contraseña de FileVault.

Después de implementar la directiva de FileVault con este parámetro activado, aparece la siguiente pantalla cuando un usuario cierra sesión en el dispositivo. La pantalla ofrece al usuario la opción de habilitar FileVault antes del cierre de sesión.

Imagen de la pantalla de usuario de FileVault

Si el valor de Máximo de veces que se puede omitir la configuración de FileVault no es 0: Después de implementar la directiva FileVault con este parámetro desactivado, cuando el usuario inicia sesión, aparece la pantalla siguiente.

Imagen de la pantalla de usuario de FileVault

Si el valor de Máximo de veces que se puede omitir la configuración de FileVault es 0 o el usuario ha omitido la configuración la cantidad máxima de veces, aparece la siguiente pantalla.

Imagen de la pantalla de usuario de FileVault

  • Máximo de veces que se puede omitir la configuración de FileVault: La cantidad máxima de veces que el usuario puede omitir la configuración de FileVault. Cuando el usuario alcanza ese máximo, debe configurar FileVault para iniciar sesión. Si es 0, el usuario debe habilitar FileVault durante el primero intento de inicio de sesión. El valor predeterminado es 0.
  • Tipo de clave de recuperación: Un usuario que olvide la contraseña puede escribir una clave de recuperación para desbloquear el disco y poder restablecerla. Opciones de la clave de recuperación:

    • Clave de recuperación personal: Una clave de recuperación personal es única para cada usuario. Durante la configuración de FileVault, un usuario elige si crear una clave de recuperación o permitir que su cuenta de iCloud desbloquee el disco. Para mostrar la clave de recuperación al usuario una vez completada la configuración de FileVault, active Mostrar clave de recuperación personal. Al mostrar la clave, el usuario puede registrarla para usarla en el futuro. Para obtener más información acerca de la administración de claves de recuperación, consulte el artículo de asistencia de Apple: https://support.apple.com/en-us/HT204837.

    • Clave de recuperación institucional:. Puede crear una clave de recuperación institucional (o maestra) y un certificado de FileVault, que podrá utilizar para desbloquear los dispositivos. Para obtener más información, consulte el artículo de asistencia de Apple, https://support.apple.com/en-us/HT202385. Utilice XenMobile para implementar el certificado de FileVault en los dispositivos. Para obtener más información, consulte Certificados y autenticación.

    • Clave de recuperación personal e institucional: Cuando activa ambos tipos de claves de recuperación, solo deberá desbloquear un dispositivo si el usuario pierde su clave de recuperación personal.

  • Mostrar clave de recuperación personal:. Si el valor es (activado), se muestra la clave de recuperación personal al usuario después de habilitar FileVault en el dispositivo. El valor predeterminado es .

Imagen de la pantalla de usuario de FileVault

Tras completar los parámetros de la directiva, configure las reglas de implementación y elija los grupos de entrega. Para obtener más información, consulte Agregar una directiva de dispositivo.

Respaldo para el nuevo cliente Cisco AnyConnect VPN para iOS

Cisco ha empezado a retirar progresivamente el cliente Cisco AnyConnect, basado en un framework de VPN ahora obsoleto. Cisco ha cambiado el nombre de ese cliente a Cisco Legacy AnyConnect. El ID del paquete no ha cambiado (sigue siendo com.cisco.anyconnect.gui).

Cisco tiene un cliente nuevo llamado Cisco AnyConnect. Este cliente nuevo ofrece una conexión más fiable a los recursos internos y un respaldo más sólido para aplicaciones UDP y TCP con una red VPN por aplicación. El ID de paquete del cliente nuevo es com.cisco.anyconnect. Cisco admite el cliente nuevo para iOS 10 (versión mínima).

  • Para seguir usando el cliente Legacy AnyConnect: Si aún utiliza el cliente antiguo, no es necesario cambiar la directiva de red VPN existente para iOS. Esta directiva seguirá funcionando hasta que Cisco retire el respaldo a este cliente antiguo. A partir de esta versión, la opción Cisco AnyConnect del tipo de conexión ha cambiado de nombre a Cisco Legacy AnyConnect en la consola de XenMobile Server.
  • Para utilizar el nuevo cliente Cisco AnyConnect: El nuevo cliente Cisco AnyConnect no detecta directivas VPN de XenMobile que se hayan creado con la opción Cisco AnyConnect en Tipo de conexión.

Para usar el nuevo cliente Cisco AnyConnect, configure XenMobile Server de la siguiente manera.

  1. Vaya a Configurar > Directivas de dispositivo y agregue una directiva VPN para iOS.

  2. Configure los parámetros necesarios en la página de plataformas de la Directiva VPN. Se necesitan estos parámetros para Cisco AnyConnect:

    • Nombre de la conexión: Cisco AnyConnect
    • Tipo de conexión: SSL personalizado
    • Identificador de SSL personalizado (formato DNS inverso): com.cisco.anyconnect
    • Identificador de paquete de proveedor: com.cisco.anyconnect
    • Tipo de proveedor: Túnel de paquete

    Otros parámetros, tales como Tipo de autenticación para la conexión y Habilitar VPN por aplicación, dependen de su caso concreto. Para obtener más información, consulte “Configurar el protocolo SSL personalizado” en Configurar parámetros de iOS.

    Imagen de la pantalla de configuración de Directivas de dispositivo

  3. Configure las reglas de implementación y elija los grupos de entrega para la directiva VPN. Implemente esa directiva en los dispositivos iOS.

  4. Cargue el cliente Cisco AnyConnect desde https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8, agregue la aplicación a XenMobile Server y, a continuación, impleméntela en los dispositivos iOS.

  5. Quite la directiva VPN antigua que hubiera en los dispositivos iOS.

Para obtener más información, consulte este artículo de asistencia de XenMobile: https://support.citrix.com/article/CTX227708.

Control de las actualizaciones del sistema operativo para escritorios y tabletas Windows

Ahora, puede usar la directiva de control de actualizaciones del sistema operativo para implementar las actualizaciones de SO en los dispositivos supervisados (tabletas y escritorios) con Windows 10.

Imagen de la pantalla de configuración de Directivas de dispositivo

Configure estos parámetros de escritorios o tabletas Windows:

  • Seleccionar modo de horas de actividad: Seleccione un modo para definir las horas de actividad durante las que realizar las actualizaciones de sistema operativo por franja de horas o por horas de inicio y finalización. Tras seleccionar un modo, aparecerán más parámetros: Especificar rango máximo de horas de actividad o Inicio de las horas de actividad y Fin de las horas de actividad. La opción No configurada permite a Windows ejecutar las actualizaciones de SO en cualquier momento. El valor predeterminado es No configurada.
  • Comportamiento de actualización automática: Define el comportamiento a la hora de descargar, instalar y reiniciar el servicio Windows Update en los dispositivos de usuario. El valor predeterminado es Instalar y reiniciar automáticamente.
    • Notificar al usuario antes de descargar la actualización: Windows notifica a los usuarios cuando hay actualizaciones disponibles. Windows no descarga ni instala automáticamente las actualizaciones. Los usuarios deben iniciar las acciones de descarga e instalación.
    • Instalar automáticamente y notificarlo para programar el reinicio del dispositivo: Windows descarga automáticamente las actualizaciones en redes de uso no medido. Windows instala las actualizaciones durante el Mantenimiento automático, cuando el dispositivo no está en uso y está enchufado a la red eléctrica (no consume carga de la batería). Si el Mantenimiento automático no puede instalar las actualizaciones durante dos días, Windows Update las instala inmediatamente. Si la instalación requiere un reinicio, Windows pide al usuario que fije la hora del reinicio. El usuario tiene un máximo de siete días para programar el reinicio. Después de siete días, Windows obliga al dispositivo a reiniciarse. Permitir que el usuario controle la hora de inicio reduce el riesgo de pérdida accidental de datos causada por aplicaciones que no se cierran correctamente al reiniciar.
    • Instalar y reiniciar automáticamente: Valor predeterminado. Windows descarga automáticamente las actualizaciones en redes sin uso medido. Windows instala las actualizaciones durante el Mantenimiento automático, cuando el dispositivo no está en uso y está enchufado a la red eléctrica (no consume carga de la batería). Si el Mantenimiento automático no puede instalar las actualizaciones durante dos días, Windows Update las instala inmediatamente. Si la instalación requiere un reinicio, Windows reinicia automáticamente el dispositivo cuando el dispositivo está inactivo.
    • Instalar automáticamente y reiniciar a una hora especificada: Si selecciona esta opción, aparecen más parámetros para que indique el día y la hora de reinicio. De forma predeterminada, es a las 3:00 todos los días. La instalación automática ocurre a la hora especificada y el reinicio del dispositivo ocurre tras una cuenta atrás de 15 minutos. Si el usuario tiene la sesión iniciada cuando Windows esté listo para el reinicio, el usuario puede interrumpir la cuenta atrás de 15 minutos para atrasar el reinicio.
    • Instalar automáticamente y reiniciar sin control por parte del usuario final: Windows descarga automáticamente las actualizaciones en redes de uso no medido. Windows instala las actualizaciones durante el Mantenimiento automático, cuando el dispositivo no está en uso y está enchufado a la red eléctrica (no consume carga de la batería). Si el Mantenimiento automático no puede instalar las actualizaciones durante dos días, Windows Update las instala inmediatamente. Si la instalación requiere un reinicio, Windows reinicia automáticamente el dispositivo cuando el dispositivo está inactivo. Esta opción también provoca que el panel de control del usuario sea de solo lectura.
    • Desactivar actualizaciones automáticas: Las actualizaciones automáticas de Windows se inhabilitan en el dispositivo.
  • Buscar actualizaciones de aplicaciones en Microsoft Update: Especifica si Windows acepta actualizaciones de otras aplicaciones Microsoft desde el servicio Microsoft Update. El valor predeterminado es No configurado.
    • No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden aceptar o rechazar las actualizaciones para otras aplicaciones Microsoft.
    • Sí: Windows permite que las actualizaciones de las aplicaciones se instalen desde el servicio Windows Update. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
    • No: Windows no permite que las actualizaciones de las aplicaciones se instalen desde el servicio Windows Update. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
  • Especificar rama de actualizaciones: Especifica la rama del servicio Windows Update que se va a utilizar para las actualizaciones. El valor predeterminado es No configurado.
    • No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden elegir la rama del servicio Windows Update.
    • Rama actual: Windows recibe actualizaciones provenientes de la rama actual (Current Branch). El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
    • Rama actual para empresas: Windows recibe actualizaciones provenientes de la rama actual para empresas (Current Branch for Business). El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
  • Configurar cuántos días se pueden posponer las actualizaciones de características: Si el valor es (activado), Windows pospone las actualizaciones de las funciones durante la cantidad especificada de días; el usuario no puede modificar el parámetro. Cuando está desactivada, el usuario puede cambiar la cantidad de días que se pospondrán las actualizaciones de las funciones. El valor predeterminado es No.
  • Configurar cuántos días se pueden posponer las actualizaciones de calidad: Si el valor es (activado), Windows pospone las actualizaciones de calidad durante la cantidad especificada de días; el usuario no puede modificar el parámetro. Cuando está desactivada, el usuario puede cambiar la cantidad de días que se pospondrán las actualizaciones de calidad. El valor predeterminado es No.
  • Poner en pausa actualizaciones de calidad: Especifica si pausar las actualizaciones de calidad durante 35 días. El valor predeterminado es No configurado.
    • No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden optar por pausar actualizaciones de calidad durante 35 días.
    • Sí: Windows pausa la instalación de actualizaciones de calidad desde el servicio Windows Update durante 35 días. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
    • No: Windows no pausa la instalación de actualizaciones de calidad desde el servicio Windows Update. El parámetro relacionado en el dispositivo del usuario está inactivo, por lo que el usuario no puede modificarlo.
  • Permitir solo las actualizaciones en la lista de aprobación: Especifica si se debe instalar solo las actualizaciones que apruebe un servidor MDM. Actualmente XenMobile Server no admite la configuración de una lista de actualizaciones aprobadas. El valor predeterminado es No configurada.
    • No configurada: Utilice esta opción si no quiere configurar el comportamiento. Windows no cambia la interfaz de usuario relacionada en los dispositivos de usuario. Los usuarios pueden elegir las actualizaciones que quieren permitir.
    • Sí, instalar solo actualizaciones aprobadas: Permite que solo se instalen las actualizaciones aprobadas.
    • No, instalar todas las actualizaciones aplicables: Permite que se instalen todas las actualizaciones correspondientes en el dispositivo.
  • Usar servidor de actualización interno: Especifica si obtener actualizaciones desde el servicio Windows Update o un servidor interno de actualizaciones a través de Windows Server Update Services (WSUS). Cuando el valor es No, los dispositivos usan el servicio Windows Update. Cuando el valor es , los dispositivos se conectan al servidor WSUS especificado para las actualizaciones. El valor predeterminado es No.
    • Aceptar actualizaciones firmadas por entidades distintas de Microsoft: Especifica si aceptar actualizaciones firmadas por entidades de terceros que no sean Microsoft. Esta característica requiere que el dispositivo confíe en el certificado de proveedores de terceros. El valor predeterminado es No.
    • Permitir conexión con el servicio de actualización de Microsoft: Permite que Windows Update presente en el dispositivo se conecte periódicamente al servicio de actualización de Microsoft, incluso aunque el dispositivo esté configurado para obtener actualizaciones desde un servidor WSUS. El valor predeterminado es .
    • Servidor WSUS: Especifique la URL del servidor WSUS.
    • Servidor de intranet alternativo para alojar actualizaciones: Especifique la URL de un servidor de intranet alternativo para alojar actualizaciones y recibir información.

Instalar mapas sin conexión en teléfonos Windows 10 supervisados

Los teléfonos Windows 10 admiten mapas sin conexión. Use la directiva de mapas para especificar los mapas que se descargarán en los dispositivos. Actualmente, el proveedor de servicios de configuración (CSP) de mapas de Microsoft admite mapas de Alemania, el Reino Unido y los Estados Unidos.

Imagen de la pantalla de configuración de Directivas de dispositivo

Otras mejoras en XenMobile Service 10.7.2

  • Al realizar un borrado completo de un dispositivo iOS 11 que tenga un plan de datos móviles, puede optar por conservar el plan de datos.

    Imagen de la pantalla de acciones de seguridad

  • Ahora XenMobile muestra una advertencia de caducidad de licencia cuando hayan caducado o se acerque la fecha de caducidad de los tokens de Apple VPP o DEP.

    Imagen de la pantalla de caducidad de la licencia

    Imagen de la pantalla de caducidad de la licencia

  • Formatos de fecha y hora basados en la configuración regional. La fecha y hora que aparecen en las páginas Administrar > Dispositivos y Administrar > Usuarios ahora tienen el formato correspondiente a la configuración regional. Por ejemplo, 6 p.m. el 15 de octubre de 2017 se muestra de la siguiente manera:


  U.S. (en-US): 10/15/17 06:00:00 pm
  U.K. (en-GB): 15/10/17 18:00:00
  South Africa (en-ZA): 2017/10/15 06:00:00 pm

Imagen de la pantalla de configuración de dispositivos

Problemas resueltos en XenMobile Service 10.7.2

En la página Administrar > Dispositivos > Propiedades: la propiedad Código de acceso conforme se establece en para dispositivos Samsung que no cumplen los requisitos de la directiva de códigos de acceso. [CXM-37948]

En Configurar > Directivas de dispositivo > Directiva de bloqueo de aplicaciones: después de escribir el nombre de la directiva e ir a la página de iOS, los ID de paquete no aparecen en el menú ID de paquete de la aplicación. Después de alternar entre Android e iOS, aparecen los ID de paquete de aplicación. [CXM-39302]

Al importar un certificado de escucha de SSL renovado en XenMobile, aparece el mensaje “No se pudo importar el certificado”. Después de reiniciar el servidor XenMobile Server, la página Certificados y la base de datos de XenMobile siguen remitiendo al certificado antiguo. Sin embargo, se muestra el nuevo certificado en un explorador Web. [CXM-39409]

Si una acción marca los dispositivos inscritos como “no conformes” cuando no tienen Secure Hub instalado, los dispositivos con Secure Hub también se marcan como “no conformes”. Esta solución se aplica a las acciones que tienen el patrón siguiente. Desencadenante: Si el nombre de la aplicación instalada no es o no contiene ****. Acción: Realizar **** tras una demora de **<5 a 10> minutos**. [CXM-39410]

Problemas conocidos en XenMobile Service 10.7.2

Cuando se implementa una directiva de notificaciones para las aplicaciones Mensajes y Wallet en dispositivos iOS, algunas opciones no funcionan según lo previsto. Por ejemplo, no se pueden inhabilitar las notificaciones de las aplicaciones Mensajes y Wallet, y no se pueden inhabilitar sonidos para la aplicación Mensajes. Este problema de terceros es un error de Apple (ID 34591546). [CXM-37529]

Si se utiliza la consola de XenMobile en Internet Explorer, con la configuración regional establecida en “Inglés - Sudáfrica” (en-ZA): la Fecha de la última autenticación que aparece en la página Administrar > Usuarios es incorrecta. [CXM-40028]

XenMobile Service 10.7.1

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Restricciones nuevas para dispositivos supervisados que ejecutan iOS

Ahora están disponibles las siguientes restricciones para los dispositivos que ejecutan iOS en modo supervisado: Se indica la versión mínima admitida para cada restricción.

  • Permitir que la aplicación Aula observe remotamente las pantallas de los estudiantes: Si no se activa esta restricción, el profesor no puede usar la aplicación Aula para observar de forma remota las pantallas de los estudiantes. Está activada de forma predeterminada; así, un profesor puede utilizar la aplicación Aula para observar las pantallas de los estudiantes. El parámetro Permitir que la aplicación Aula use AirPlay y Ver pantalla sin preguntar determina si los estudiantes reciben una solicitud para conceder permiso al profesor. Para dispositivos supervisados con iOS 9.3 (versión mínima).

  • Permitir que la aplicación Aula use AirPlay y Ver pantalla sin preguntar: Cuando esta restricción está activa, el profesor puede realizar AirPlay y Ver pantalla en un dispositivo de estudiante sin solicitar permiso para ello. El parámetro está desactivado de forma predeterminada. Para dispositivos supervisados con iOS 10.3 (versión mínima).

  • Permitir que la aplicación Aula bloquee una aplicación y bloquee el dispositivo sin preguntar: Cuando esta restricción está activada, la aplicación Aula bloquea automáticamente los dispositivos de usuario en una aplicación y bloquea el dispositivo, sin solicitar permiso a los usuarios. El valor predeterminado es No. Para dispositivos supervisados con iOS 11 (versión mínima).

  • Unirse automáticamente a las clases de la aplicación Aula sin preguntar: Cuando esta restricción está activada, la aplicación Aula incorpora automáticamente los usuarios a las clases, sin solicitar permiso a los usuarios. El valor predeterminado es No. Para dispositivos supervisados con iOS 11 (versión mínima).

  • Permitir AirPrint: Cuando esta restricción está desactivada, los usuarios no pueden imprimir con AirPrint. El valor predeterminado es . Cuando esta restricción se active, aparecerán estas restricciones adicionales. Para dispositivos supervisados con iOS 11 (versión mínima).

  • Permitir el almacenamiento de las credenciales de AirPrint en el Llavero: Si no se selecciona esta restricción, el nombre de usuario y la contraseña de AirPrint no se almacenan en el Llavero. El parámetro está activado de forma predeterminada. Para dispositivos supervisados con iOS 11 (versión mínima).

  • Permitir la detección de impresoras AirPrint mediante iBeacons: Cuando esta restricción no está activada, se inhabilita la detección de impresoras AirPrint por iBeacons. Inhabilitar la detección impide que balizas falsas de AirPrint por Bluetooth se adjudiquen tráfico de red. El parámetro está activado de forma predeterminada. Para dispositivos supervisados con iOS 11 (versión mínima).

  • Permitir AirPrint solo en destinos con certificados de confianza: Cuando esta restricción está seleccionada, los usuarios pueden usar AirPrint solo para imprimir en aquellos destinos que tengan certificados de confianza. El parámetro está desactivado de forma predeterminada. Para dispositivos supervisados con iOS 11 (versión mínima).

  • Agregar configuraciones VPN: Cuando esta restricción está desactivada, los usuarios no pueden crear configuraciones de redes VPN. El valor predeterminado es . Para dispositivos supervisados con iOS 11 (versión mínima).

  • Modificar parámetros de planes de datos móviles: Cuando esta restricción está desactivada, los usuarios no pueden modificar los parámetros de su plan de telefonía móvil. El valor predeterminado es . Para dispositivos supervisados con iOS 11 (versión mínima).

  • Eliminar aplicaciones de sistema: Cuando esta restricción está desactivada, los usuarios no pueden quitar las aplicaciones del sistema que haya presentes en sus dispositivos. El valor predeterminado es . Para dispositivos supervisados con iOS 11 (versión mínima).

  • Configurar nuevos dispositivos cercanos: Cuando esta restricción está desactivada, los usuarios no pueden configurar nuevos dispositivos cercanos. El valor predeterminado es . Para dispositivos supervisados con iOS 11 (versión mínima).

Para configurar estas restricciones, vaya a Configurar > Directivas de dispositivo. Para obtener más información sobre la configuración de restricciones, consulte Directiva de restricciones.

Imagen de la pantalla de configuración de Directivas de dispositivo

Imagen de la pantalla de configuración de Directivas de dispositivo

Respaldo para Enterprise Firmware-Over-The-Air de Samsung

Enterprise FOTA (E-FOTA) de Samsung permite determinar cuándo se actualizan los dispositivos y la versión de firmware que se va a usar. E-FOTA permite probar las actualizaciones antes de implementarlas. De esta manera, puede asegurarse de que las actualizaciones sean compatibles con las aplicaciones. Puede obligar los dispositivos a que se actualicen a la versión disponible más reciente del firmware, sin necesidad de interacción con el usuario.

Samsung admite E-FOTA para dispositivos Samsung KNOX 2.7.1 (versión mínima) que ejecutan firmware autorizado.

Para configurar una directiva de E-FOTA:

  1. Cree una directiva de clave de licencia de MDM para Samsung con las claves y la información de licencia que haya recibido de Samsung. XenMobile Server valida y registra la información.

    Imagen de la pantalla de configuración de Directivas de dispositivo

    • Clave de licencia ELM: Este campo contiene la macro que genera la clave de licencia ELM. Si el campo está en blanco, escriba la macro ${elm.license.key}.

    • Escriba la siguiente información proporcionada por Samsung cuando adquirió un paquete E-FOTA: ID de cliente de FOTA Enterprise, licencia de FOTA Enterprise, ID de cliente, Secreto del cliente

  2. Cree una directiva de control de actualizaciones de SO.

    Imagen de la pantalla de configuración de Directivas de dispositivo

    Configure estos parámetros:

    • Enterprise FOTA: Elija Si para este parámetro.
    • Clave de licencia de Enterprise FOTA: Seleccione el nombre de la directiva de clave de licencia MDM para Samsung que creó en el paso 1.
  3. Implemente la directiva de control de actualizaciones de SO en Secure Hub.

Otras mejoras en XenMobile Service 10.7.1

  • Nueva opción del asistente de configuración de iOS: nuevas funciones destacadas. El elemento del asistente de configuración de iOS Nuevas funciones destacadas introduce estas nuevas pantallas informativas: Accede al Dock desde cualquier sitio y Cambia entre las apps recientes. Puede omitir esas pantallas de incorporación para que no aparezcan en los pasos del asistente de configuración de iOS cuando los usuarios inician sus dispositivos por primera vez.

Nuevas funciones destacadas está disponible para iOS 11.0 (versión mínima). De forma predeterminada, ningún elemento está activado.

Imagen de la pantalla de ajustes de Apple DEP

  • La interfaz de la consola de XenMobile para las aplicaciones del programa VPP de macOS ha cambiado de la siguiente manera:
    • En Configurar > Aplicaciones, puede filtrar las aplicaciones por VPP de macOS. Ahora se omiten las partes de la interfaz que no se aplican a las aplicaciones del programa VPP de macOS. Por ejemplo, la sección “Configuración de la tienda” no aparece porque Secure Hub no existe para macOS. La opción de importación de claves VPP ya no aparece.
    • En Administrar > Dispositivos, el apartado Propiedades de usuario contiene la opción de Retirar cuenta VPP.
  • Directiva de control de actualizaciones de SO para macOS. Ahora, puede usar la directiva del control de actualizaciones de SO para implementar las actualizaciones de SO en los dispositivos macOS que se supervisan o que se implementan a través del programa DEP de Apple.

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Opción para permitir que varios usuarios usen un dispositivo Samsung SAFE. Ahora la directiva de restricciones incluye la opción de control de hardware Permitir varios usuarios. Para MDM 4.0 y versiones posteriores, esta opción está desactivada de forma predeterminada.
  • La página Administrar > Dispositivos ahora incluye estas propiedades de dispositivo adicionales notificadas por los dispositivos Android:

    • Código de operador (informado únicamente por dispositivos con Samsung MDM 5.7 o posterior)
    • Número de modelo (informado únicamente por dispositivos con Samsung MDM 2.0 o posterior)
  • La directiva de restricciones ahora incluye un parámetro para inhabilitar la cámara en los dispositivos Android. Para configurar esta directiva, vaya a Configurar > Directivas de dispositivo y haga clic en Agregar > Restricciones. De forma predeterminada, la cámara se puede utilizar. Para no permitir el uso de la cámara, desactive el parámetro Cámara.

Esta función requiere Secure Hub 10.7.5 (versión mínima).

Imagen de la pantalla de configuración de Directivas de dispositivo

  • Al crear una acción basada en las propiedades de dispositivo con un tipo de valor numérico (número entero): ahora puede elegir entre Igual o mayor e Igual o menor, además de la condición existente Es. Los valores de las propiedades de dispositivo que tienen nuevas condiciones son: RAM disponible y total, espacio de almacenamiento disponible y total, dimensiones de pantalla y resolución de pantalla. Utilice la página Configurar > Acciones para crear acciones.
  • Actualización en la API pública de inicio o cierre de sesión. Los usuarios de Citrix Cloud ahora pueden iniciar sesión en la API pública de XenMobile para servicios REST con un token obtenido a través de la API de Citrix Cloud. Para obtener más información, consulte la sección 3.3.2, Login (Cloud Credentials), en el documento PDF XenMobilePublic API for REST Services.

Problemas resueltos en XenMobile Service 10.7.1

La acción de seguridad “Bloquear” falla en los dispositivos inscritos que ejecutan macOS High Sierra (10.13 beta3) con el sistema de archivos de Apple (APFS). [CXM-35731]

Si envía la acción de seguridad “Habilitar modo perdido” a un dispositivo iOS supervisado que no tiene Secure Hub, no aparece el botón Localizar en el dispositivo. [CXM-36106]

En la página Administrar > Dispositivos > Aplicaciones, el inventario muestra un número incorrecto de versión de Boeing Toolbox Mobile Library. [CXM-37514]

Los usuarios de iOS no pueden actualizar Citrix Receiver a la versión 7.2.3. Cuando hacen clic en Comprobar actualizaciones, aparece el mensaje “La aplicación está actualizada con la versión más reciente” incluso cuando tienen una versión anterior. [CXM-38114]

Si un rol RBAC no tiene acceso a las acciones de borrado y bloqueo de aplicaciones: un usuario con ese rol que haya iniciado sesión en Self Help Portal puede llevar a cabo las acciones de borrado y bloqueo de aplicaciones. [CXM-38348]

Los usuarios locales y de Active Directory que tengan el permiso RBAC de agregar, modificar y eliminar usuarios y grupos locales también pueden eliminar cuentas de administrador. Cuando esos usuarios inician sesión en la consola de XenMobile, la página Administrar > Usuarios contiene los botones Modificar y Eliminar para las cuentas de administrador. [CXM-38350]

Una limpieza programada de la base de datos falla debido a que muchos registros de transacciones superan los límites de espacio en disco. [CXM-38439]

Si el desencadenador de una acción automatizada se basa en que una propiedad de dispositivo tenga un valor nulo, la acción se lleva a cabo para ese dispositivo. Por ejemplo, si establece la acción de borrar datos de un dispositivo si la plataforma no es iOS, la acción borra los datos de los dispositivos iOS. [CXM-38470]

Para los administradores que solo tienen los roles de proveedores de credenciales y entidades de PKI en RBAC: se cierra la sesión del administrador en la consola de XenMobile mientras agrega una entidad PKI o un proveedor de credenciales. Para solucionar temporalmente este problema, agregue el permiso de certificados al rol RBAC del administrador. [CXM-38713]

XenMobile Service 10.7.0

Importante: Después de actualizar a XenMobile 10.7:

Si la funcionalidad relacionada con las conexiones de salida deja de funcionar y usted no ha cambiado la configuración de las conexiones, busque errores similares a los siguientes en el registro de XenMobile Server: “No se puede conectar con el servidor del programa VPP: El nombre de host ‘192.0.2.0’ no coincide con el sujeto de certificado suministrado por el servidor homólogo”.

Si recibe el error de validación de certificado, inhabilite la verificación de nombres de host en el XenMobile Server. De forma predeterminada, la verificación de nombres de host está habilitada en las conexiones salientes, excepto para el servidor PKI de Microsoft. Si la verificación de nombres de host deja inoperativa la implementación, cambie la propiedad de servidor disable.hostname.verification a true. El valor predeterminado de esta propiedad es false.

La versión más reciente de XenMobile presenta las siguientes mejoras y funciones nuevas:

Más macros para plantillas de inscripción

Puede usar estas macros nuevas cuando cree plantillas de inscripción para invitaciones a la inscripción de dispositivos:


${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

Estas macros permiten crear plantillas de inscripción que contengan las direcciones URL de inscripción para varias plataformas de dispositivos.

En este ejemplo se muestra cómo crear una notificación que incluya las direcciones URL de inscripción para varias plataformas de dispositivos. La macro para el mensaje es:

${enrollment.urls}

Imagen de la pantalla de configuración de la plantilla de notificaciones

En estos ejemplos se muestra cómo crear mensajes para las notificaciones que solicitan a los usuarios hacer clic en la URL de inscripción correspondiente a la plataforma de sus dispositivos:

Ejemplo 1:


To enroll, click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

Ejemplo 2:


To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

Cambios en la API pública de REST

Cuando se usa la API pública de REST de XenMobile para crear invitaciones de inscripción, ahora puede:

  • Especificar un PIN personalizado. Si el modo de inscripción requiere un PIN, puede usar un PIN personalizado, en lugar de uno generado aleatoriamente por XenMobile Server. La longitud del PIN debe coincidir con el parámetro configurado para el modo de inscripción. La longitud predeterminada del PIN es de 8 caracteres. Por ejemplo, una solicitud puede contener “pin”: “12345678”.
  • Seleccionar varias plataformas.. Anteriormente, podía usar la API de REST para especificar solamente una plataforma para una invitación de inscripción. El campo “plataforma” ha pasado a ser obsoleto y se ha sustituido por “plataformas”. Por ejemplo, una solicitud puede contener: “platforms”: [“iOS”, “MACOSX”]

Para ver todo el conjunto actual de interfaces API disponibles, descargue el archivo PDF XenMobile Public API for REST Services.

Problemas resueltos en XenMobile Service 10.7.0

Si un nombre de conexión VPN contiene un espacio u otros caracteres no alfanuméricos, XenMobile no implementa la directiva en los dispositivos. [CXM-32538]

La API de REST de XenMobile no permite seleccionar varias plataformas cuando se crea una invitación de inscripción. [CXM-35853]

La acción de seguridad “Borrado completo” falla en los dispositivos inscritos con macOS High Sierra (10.13 beta3) con el sistema de archivos de Apple (APFS). [CXM-36397]

El enlace URL en una invitación de inscripción puede no resolver la URL de inscripción. [CXM-37513]

  • Para evitar este problema, la plantilla que elija debe contener macros compatibles con las plataformas seleccionadas al crear la invitación de inscripción. Use estas macros nuevas cuando cree plantillas con URL de inscripción:

  ${enrollment.urls}
  ${enrollment.ios.url}
  ${enrollment.macos.url}
  ${enrollment.android.url}
  ${enrollment.ios.platform}
  ${enrollment.macos.platform}
  ${enrollment.android.platform}
  ${enrollment.agent}

  • La macro antigua ${enrollment.url] todavía funciona para invitaciones de inscripción que tienen solo una plataforma seleccionada.

Después de usar la CLI de XenMobile para modificar la lista de exclusión de proxys y, a continuación, reiniciar el servidor, la lista aparece incompleta en la línea de comandos. Este problema solo afecta a la presentación de la lista. [CXM-37812]

Cuando envía una macro desde la página Solución de problemas y asistencia > Macros, aparece el mensaje “No se pudo obtener la información de la macro”. [CXM-37940]

Problemas conocidos en XenMobile Service 10.7.0

Cuando envía una macro desde la página Solución de problemas y asistencia > Macros, aparece el mensaje “No se pudo obtener la información de la macro”. [CXM-37940]